Content-Type Header missing
Was ist Content-Type Header missing?
Content-Type Header missing liegt vor, wenn fehlerhafte oder anormale HTTP-Anfragen von einer oder mehreren Dateneinheiten im Datenfluss zwischen dem Benutzer und dem Webserver (z.B. einem Proxy oder einer Firewall) interpretiert werden, können sie inkonsistent interpretiert werden, sodass der Angreifer eine Anfrage in ein Gerät “schmuggeln” kann, ohne dass das andere Gerät davon Kenntnis hat.
Beschreibung
Ein Angreifer könnte eine Anfrage erstellen, um eine Reihe von Schwachstellen auszunutzen, darunter
- die Anfrage kann den Webserver dazu verleiten, eine URL mit einer anderen URL-Webseite zu verknüpfen und den Inhalt der Webseite zwischenzuspeichern (Webcache-Poisoning-Angriff)
- die Anfrage kann strukturiert sein, um die Firewall-Schutzmechanismen zu umgehen und nicht autorisierten Zugriff auf eine Webanwendung zu erhalten
- die Anfrage kann ein Script oder eine Seite aufrufen, die Client-Anmeldeinformationen zurückgibt (ähnlich einem Cross Site Scripting-Angriff).
Security Scanner lösen eine Warnmeldung aus, wenn die Antwort keine Content Typ Header enthält oder wenn der Header existiert, aber der Wert leer ist.
Tipp
Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.
Lösung
Das Einschleusen von Anfragen kann aufgrund eines Mehrfachinterpretationsfehlers über eine konsistente Manipulation (Überschriften für die Übertragungseingabe und Inhaltslänge) ausgeführt werden.
- Verwenden Sie einen Webserver, der ein strenges HTTP-Analyseverfahren verwendet, wie z. B. Apache.
- Verwenden Sie nur SSL-Kommunikation.
- Beenden Sie die Client-Sitzung nach jeder Anforderung.
- Setzen Sie alle Seiten so, dass nicht zwischengespeichert wird.
Datenbanklink zur Schwachstelle
Sie haben noch Fragen?