• CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')

Das Produkt fungiert als ein vermittelnder HTTP-Agent (wie beispielsweise ein Proxy oder eine Firewall) im Datenfluss zwischen zwei Entitäten, beispielsweise einem Client und einem Server. Es interpretiert jedoch fehlerhafte HTTP-Requests oder -Responses nicht in einer Weise, die mit der Verarbeitung dieser Nachrichten durch die letztendlichen Zielentitäten übereinstimmt.

CWE-444: Inconsistent Interpretation of HTTP Requests ('HTTP Request/Response Smuggling')

CWE ID: 444
Name: Inconsistent Interpretation of HTTP Requests (‘HTTP Request/Response Smuggling’)

Beschreibung

Das Produkt fungiert als ein vermittelnder HTTP-Agent (wie beispielsweise ein Proxy oder eine Firewall) im Datenfluss zwischen zwei Entitäten, beispielsweise einem Client und einem Server. Es interpretiert jedoch fehlerhafte HTTP-Requests oder -Responses nicht in einer Weise, die mit der Verarbeitung dieser Nachrichten durch die letztendlichen Zielentitäten übereinstimmt.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Nutzen Sie einen Webserver, der ein striktes HTTP-Parsing-Verfahren verwendet, wie beispielsweise Apache [REF-433].

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Verwenden Sie ausschließlich SSL-Kommunikation.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Beenden Sie die Client-Session nach jeder Anfrage.

Maßnahme (System Configuration)

Effektivität: Unknown
Beschreibung: Stellen Sie alle Seiten als nicht-cachebar ein.