1
私は、コントローラに以下のコードを書いた:
$this->redirect('https://example.com' . $this->here);
それは、ヘッダインジェクションを持っていますか?
ex) http://example.com/%0dSet-Cookie:XXXX=YYYYY
修正方法を教えてください。
A
答えて
3
CakePHPのどの部分も直接脆弱ですが、脆弱なコードはありません。実際のリダイレクトController->redirect()を実行するには、Controller->header()が呼び出され、header()が呼び出されます。したがって、あなたがHTTPヘッダーの注入に脆弱かどうかを指示するのは、使用されているPHPのバージョンです。この脆弱性はremediated in header() in releases 4.4.2 and 5.1.2 of PHPでした。
ただし、信頼できない、または不明なコンテンツをロケーションヘッダーに入れないでください。したがって、ホワイトリストの検証で防御的にコードすれば問題ありません。
+0
+1搾取のこの方法は古いです。 – rook
関連する問題
- 1. cakephp 2.0アップグレードシェルredirect()faulty?
- 2. CakePHPチェックセッションがデータベースにあります
- 3. CakePHP PayPalプラグインはありますか?
- 4. ASP.NETのSMTPヘッダインジェクション?
- 5. CakePHPにはデータソース用のネイティブなMERGEメソッドがありますか?
- 6. CakePHP 1.3では、 `saveAll()`の後にコールバックがありますか?
- 7. PHP cURL Google reCaptcha2ヘッダインジェクション
- 8. cakephpコントローラにはフォルダがあります使用方法は?
- 9. redirect()やrender()より優れた機能はありますか? [ノードアプリケーション]
- 10. cakephp 2.0コントローラーがありません
- 11. CakePHPクライアントサイドフォーム検証はどこにありますか?
- 12. CakePHPのブログチュートリアルのCSSファイルはどこにありますか?
- 13. CakePHP。 $ this-> loadModelがありますが、ファイル自体はモデルではありません。どうですか?
- 14. CakePHP - Form-> selectには折り返しdivがありませんか?
- 15. CakePHP統合テスト - テストする他に何かありますか?
- 16. 私はCakePHPデータソースにparent :: __ construct($ config)を入れる必要がありますか?
- 17. MVCフレームワークのコントローラまたはモデル内からredirect()を呼び出す必要がありますか?
- 18. URLをCakePHP 2に書き直す必要があります
- 19. Apache .htaccess redirectスクリプトがサブフォルダにあるときにURLに一致するものが見つかりません
- 20. index.phpのないCakePHPのフロントページにエラーがあります
- 21. cakePHP Bakeとデータベーステーブルの1つに問題があります
- 22. CakePHPインストール用のインデックスページのデフォルトコントローラはありますか?
- 23. cakePHPのbeforeSave()からafterSave()にデータを渡す方法はありますか?
- 24. CakePHP 2.0ファイルのアップロード、$ dataは効果がありません
- 25. CakePHPバリデーターがフォームの実体ではありません
- 26. CakePHPテーブルのプライマリキーが追加機能にありません
- 27. セッションのタイムアウトがCakePHP 2.0であまりにも遅い
- 28. autoload.phpがCakephp 3.0のベンダフォルダにありません
- 29. CakePHP検索プラグインに問題がありました
- 30. CakePHP 3の移行に列挙がありません
あなたは何を達成しようとしていますか? $ this->ここに何がありますか? – kaklon
この場合、 '$ this-> here'は現在のURLなので、ここには何も挿入することはできません。 – Dunhamzzz