О том, что нужно фильтровать все переменные на которые может воздействовать пользователь, худо-бедно, но знают практически все веб программисты.
А стоит ли фильтровать заголовки получаемые от пользователя, такие как User-Agent, Reffer и т. д?
Ну конечно же стоит.
Только почему-то более 50% протестированных скриптов этого не делают.
Передаваемые заголовки обрабатываются в серверной части веб приложения, что может составлять активную опасность. Злоумышленнику остается лишь проявить немного изобретательности.
Для проверки корректности обработки получаемых заголовков, можно написать небольшой скрипт анонимайзер, который использует сокеты.
Исходник скрипта можно посмотреть в статье.
А стоит ли фильтровать заголовки получаемые от пользователя, такие как User-Agent, Reffer и т. д?
Ну конечно же стоит.
Только почему-то более 50% протестированных скриптов этого не делают.
Передаваемые заголовки обрабатываются в серверной части веб приложения, что может составлять активную опасность. Злоумышленнику остается лишь проявить немного изобретательности.
Для проверки корректности обработки получаемых заголовков, можно написать небольшой скрипт анонимайзер, который использует сокеты.
Исходник скрипта можно посмотреть в статье.
