Content-Type Header missing

Was ist Content-Type Header missing?

Content-Type Header missing liegt vor, wenn fehlerhafte oder anormale HTTP-Anfragen von einer oder mehreren Dateneinheiten im Datenfluss zwischen dem Benutzer und dem Webserver (z.B. einem Proxy oder einer Firewall) interpretiert werden, können sie inkonsistent interpretiert werden, sodass der Angreifer eine Anfrage in ein Gerät “schmuggeln” kann, ohne dass das andere Gerät davon Kenntnis hat.

Beschreibung

Ein Angreifer könnte eine Anfrage erstellen, um eine Reihe von Schwachstellen auszunutzen, darunter

  • die Anfrage kann den Webserver dazu verleiten, eine URL mit einer anderen URL-Webseite zu verknüpfen und den Inhalt der Webseite zwischenzuspeichern (Webcache-Poisoning-Angriff)
  • die Anfrage kann strukturiert sein, um die Firewall-Schutzmechanismen zu umgehen und nicht autorisierten Zugriff auf eine Webanwendung zu erhalten
  • die Anfrage kann ein Script oder eine Seite aufrufen, die Client-Anmeldeinformationen zurückgibt (ähnlich einem Cross Site Scripting-Angriff).

Security Scanner lösen eine Warnmeldung aus, wenn die Antwort keine Content Typ Header enthält oder wenn der Header existiert, aber der Wert leer ist.

Tipp

Überprüfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Das Einschleusen von Anfragen kann aufgrund eines Mehrfachinterpretationsfehlers über eine konsistente Manipulation (Überschriften für die Übertragungseingabe und Inhaltslänge) ausgeführt werden.

  • Verwenden Sie einen Webserver, der ein strenges HTTP-Analyseverfahren verwendet, wie z. B. Apache.
  • Verwenden Sie nur SSL-Kommunikation.
  • Beenden Sie die Client-Sitzung nach jeder Anforderung.
  • Setzen Sie alle Seiten so, dass nicht zwischengespeichert wird.

Datenbanklink zur Schwachstelle

https://cwe.mitre.org/data/definitions/444.html


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte