不受信任的数据未经任何审查即被插入响应标头时，就会发生 HTTP 响应拆分。

如果成功，这将允许网络犯罪分子将 HTTP 响应一分为二。

网络犯罪分子会滥用此标识符，注入 CR（回车符 -- `/r`）和 LF（换行字符 -- `\n`）字符，这些字符随后将形成拆分。如果服务器未处理 CR 或 LF 字符，则无法利用此漏洞。

除了这些字符，网络犯罪分子随后便可构建自己的任意响应标头和正文，进而形成第二个响应。第二个响应完全受其控制，允许众多其他攻击。

Web 应用程序偶尔会使用参数值来存储服务器稍后所需的文件位置。

此问题的一个示例常见于错误页面，其中错误页面的实际文件路径存储在参数值中，例如 `example.com/error.php?page=404.php`。

参数值（即服务器调用的文件的路径）可替换为应用程序工作目录外其他资源的相对路径时，就发生路径遍历。服务器随后会加载该资源，并将其内容包含在对客户端的响应中。

网络犯罪分子会滥用此漏洞来查看本不应访问的文件。

在 *nix 服务器上，一个与此相关、非常常见的示例是获取 `/etc/passwd` 文件的访问权限以检索服务器用户列表。此攻击看起来像：`yoursite.com/error.php?page=../../../../etc/passwd`

由于路径遍历基于相对路径，因此负载必须首先遍历到文件系统的 root 目录，因此会出现字符串 `../../../../`。

扫描程序已发现，可以将参数值替换为常见操作系统文件的相对路径，并将该文件的内容包括在响应中。

扫描程序已发现受影响的站点会同时使用 HTTP 和 HTTPS。通过 HTTPS 提供 HTML 代码的同时，服务器也在通过未加密的通道提供资源，这可能导致数据遭到破坏，同时给用户一种安全的错觉。

若要限制对 Web 服务器上特定页面的访问，开发人员可实施多种身份验证方法，进而仅允许访问具有有效凭据的客户端。可以使用多种形式的身份验证。最简单的身份验证形式称为“基本”和“基本领域”。这些身份验证方法存在多个已知漏洞，例如容易遭受暴力破解攻击。

此外，在 Windows 环境中利用 NTLM 机制时，存在数个信息泄露问题，而且任何暴力破解都是针对服务器的本地用户，或者针对域用户（如果 Web 服务器是域成员）。

网络犯罪分子将尝试找到受保护的页面以获取对其的访问权限，同时也会执行暴力破解攻击以发现有效的凭据。

扫描程序发现以下页面需要基于 NTLM 的基本身份验证才能访问。

检测页面上正在使用的任何已知 CAPTCHA 产品。

许多 Web 应用程序的设计要求用户能够上传文件，这些文件将由接收 Web 服务器存储或处理。

扫描程序并未将此标记为漏洞，而是作为提示，供渗透试验员对文件上传功能开展进一步手动测试。

不安全的基于表单的文件上传可能为网络犯罪分子提供直接滥用和成功利用服务器，和/或可能稍后访问该文件的任何第三方的方法。此问题可以通过上传包含服务器端代码（如 PHP）的文件来实现，然后再在客户端提出请求时执行。

扫描程序检测到通用管理界面。

浏览器安全模型通常会阻止一个域的 Web 内容访问另一个域的数据。这通常称为“同源策略”。

URL 策略文件会授予读取数据的跨域权限。它们允许执行默认不允许的操作。默认情况下，Silverlight 的 URL 策略文件位于目标服务器的 root 目录中，文件名为 `crossdomain.xml`（例如，位于 `www.example.com/crossdomain.xml` 中）。

在 `crossdomain.xml` 中指定域时，该站点声明愿意允许该域中任何服务器的操作员获取策略文件所在服务器上的任何文档。

此网站上部署的 `crossdomain.xml` 文件可向所有域打开服务器（支持使用单个星号“*”作为纯通配符）。

浏览器安全模型通常会阻止一个域的 Web 内容访问另一个域的数据。这通常称为“同源策略”。

URL 策略文件会授予读取数据的跨域权限。它们允许执行默认不允许的操作。默认情况下，Silverlight 的 URL 策略文件位于目标服务器的 root 目录中，文件名为 `ClientAccessPolicy.xml`（例如，位于 `www.example.com/ClientAccessPolicy.xml` 中）。

在 `ClientAccessPolicy.xml` 中指定域时，该站点声明愿意允许该域中任何服务器的操作员获取策略文件所在服务器上的任何文档。

部署在此网站上的 `ClientAccessPolicy.xml` 文件可向所有域开放服务器（支持使用单个星号“*”作为纯通配符），并且可能允许通过依赖于应用的配置的 HTTP 访问 HTTPS 资源，从而可能将本应通过 HTTPS 保护的数据共享给第三方，便于发动中间人攻击。

Web 应用程序偶尔会使用参数值来存储客户端将被重定向的页面地址，例如：`yoursite.com/page.asp?redirect=www.yoursite.com/404.asp`

当客户端能够修改请求中受影响的参数值并因此控制重定向的位置时，就会发生未经验证的重定向。例如，以下 URL `yoursite.com/page.asp?redirect=www.anothersite.com` 将重定向到 `www.anothersite.com`。

发生重定向的方式有多种：

1) 具有 3xx 状态代码的响应会告知浏览器重定向至“Location”标头中的 URL

2) 具有“Refresh”标头的响应会告知浏览器在设定的间隔时间（可以是 0）后重新加载页面。标头可以采用任意 URL 参数进行加载

3) HTML <meta> 标签可采用“http-equiv”属性，该属性可代替 HTTP 响应头使用。可以借此模拟“Refresh”

4) 使用 Javascript 将浏览器重定向至任意 URL

网络犯罪分子会在社交工程攻击中滥用这些漏洞，让用户在不知情的情况下访问恶意网站。

扫描程序已发现，服务器在将客户端重定向到注入的值之前未验证参数值。

扫描程序发现某些响应中包含一个状态代码，而不是通常的 200（正常）、301（永久移动）、302（已找到）和 404（未找到）代码。这些代码可针对 Web 应用程序的行为提供实用见解，并识别要解决的任何意外响应。

在 Web 服务器上可以使用多种 HTTP 方法（`OPTIONS`、`HEAD`、`GET`、`POST`、`PUT`、`DELETE` 等）。每种方法都执行不同的功能，若这些方法在 Web 服务器上允许使用，各自都伴随着一定的风险水平。

通过发送 HTTP OPTIONS 请求和每种方法的直接 HTTP 请求，扫描程序发现服务器允许的方法。

ID	名称	严重性
98101	响应拆分	medium
98100	路径遍历	high
98091	混合资源检测	medium
98088	暴露的 Localstart.asp 页面	medium
98083	CAPTCHA 检测	info
98080	基于表单的文件上传	info
98070	通用管理界面检测	info
98068	不安全的跨域策略 (allow-http-request-headers-from)	low
98067	不安全的跨域策略 (allow-access-from)	low
98065	不安全的客户端访问策略	low
98054	未经验证的重定向	medium
98050	有趣的响应	info
98047	允许的 HTTP 方法	info

检测

Web App Scanning 的 Web Applications 系列

medium

high

medium

medium

info

info

info

low

low

low

medium

info

info