研究人员发现利用 HTTP Range 标头的新攻击手段

据Cybersecuritynews消息，安全研究人员发现新攻击手段——利用 HTTP Range 标头，可将原本难以利用的反射输入漏洞变为能实施的攻击，为网络应用带来新潜在威胁。攻击分两步，先找能反射输入却难利用的端点，再确认其对 Range 标头有响应，之后发送特制请求，若服务器响应含特定状态码及孤立恶意负载，恶意代码就能在受害者浏览器执行，实现跨站脚本攻击等。防御较难，不过可从净化反射内容、限制标头使用、全面测试等策略入手来应对这一威胁。