Content-Type Header missing

Was ist Content-Type Header missing?

Content-Type Header missing liegt vor, wenn fehlerhafte oder anormale HTTP-Anfragen von einer oder mehreren Dateneinheiten im Datenfluss zwischen dem Benutzer und dem Webserver (z.B. einem Proxy oder einer Firewall) interpretiert werden, k├Ânnen sie inkonsistent interpretiert werden, sodass der Angreifer eine Anfrage in ein Ger├Ąt “schmuggeln” kann, ohne dass das andere Ger├Ąt davon Kenntnis hat.

Beschreibung

Ein Angreifer k├Ânnte eine Anfrage erstellen, um eine Reihe von Schwachstellen auszunutzen, darunter

  • die Anfrage kann den Webserver dazu verleiten, eine URL mit einer anderen URL-Webseite zu verkn├╝pfen und den Inhalt der Webseite zwischenzuspeichern (Webcache-Poisoning-Angriff)
  • die Anfrage kann strukturiert sein, um die Firewall-Schutzmechanismen zu umgehen und nicht autorisierten Zugriff auf eine Webanwendung zu erhalten
  • die Anfrage kann ein Script oder eine Seite aufrufen, die Client-Anmeldeinformationen zur├╝ckgibt (├Ąhnlich einem Cross Site Scripting-Angriff).

Security Scanner l├Âsen eine Warnmeldung aus, wenn die Antwort keine Content Typ Header enth├Ąlt oder wenn der Header existiert, aber der Wert leer ist.

Tipp

├ťberpr├╝fen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

L├Âsung

Das Einschleusen von Anfragen kann aufgrund eines Mehrfachinterpretationsfehlers ├╝ber eine konsistente Manipulation (├ťberschriften f├╝r die ├ťbertragungseingabe und Inhaltsl├Ąnge) ausgef├╝hrt werden.

  • Verwenden Sie einen Webserver, der ein strenges HTTP-Analyseverfahren verwendet, wie z. B. Apache.
  • Verwenden Sie nur SSL-Kommunikation.
  • Beenden Sie die Client-Sitzung nach jeder Anforderung.
  • Setzen Sie alle Seiten so, dass nicht zwischengespeichert wird.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/444.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte