长沙一文件漏洞百出原因查明，究竟是谁的失职？

长沙一文件漏洞百出原因查明，究竟是谁的失职？

一、长沙一文件漏洞百出是怎么回事？

在我们大家的眼里，任何一个红头文件都是非常庄重而且严肃的存在枝如，因为红头文件它意味着是官方发布出来的，具有一定的权威性，但是大家对于红头文件竟然会出现各种各样漏洞，这样的情况还是从来没有见过的，湖南长沙就有一份红头文件，简直是漏洞百出，在这个文件当中，不仅有重复的话猜团语出现，就连落款和印章都让人觉得和文件的内容非常的矛盾，这样让人啼笑皆非的事情在网上不断地被议论。当地相关部门也开始对这件事情进行调查。

二、这件事究竟是谁的失职？

在经过相关部门的调查和确定之后，发现这个红头文件当中所出现的问题，全部都是真实的，而且也已经找到了这份红头文件的责任人，他们将会被问责出现这样的错误，文件的起草，扯以及审核的人员都是需要负一定责任的，因为正是由于他们工作当中的失误和漏洞，才造成了相关部门公信力的下降，给广大人民群众造成了一种误解，让大家觉得相关部门在办公的过程当中非常的穗搭橘不谨慎，所以无论是谁参与了这次红头文件的工作，可能都会被追究相关的责任。

三、怎么评价这样的事情？

出现了这样的事情，就足以说明相关工作人员，他们在平时的工作当中是非常的粗心大意，而且不负责任的，这样的人是肯定会受到相应的追究责任的，毕竟作为公职人员来说，就应该以严谨严肃的工作态度去对待每一项工作，任何一个小的漏洞和错误都可能会被无限的放大，所以对待工作就应该保持一种认真负责的态度，才能够把工作做好，如果说是混日子的话，最终有一天就会为自己的行为付出相应的代价。

以下情况中会出现 Header Manipulation 漏洞：

1. 数据通过一个不可信赖的数据源进入 Web 应用程序，最常见的是 HTTP 请求。

2. 数据包含在一个 HTTP 响应头文件里，未经验证就发送给了 Web 用户。

如同许多软件安全漏洞一样，Header Manipulation 只是通向终端的一个途径，它本身并不是终端。从本质上看，这些漏洞是显而易见的：桥没氏一个攻击者将恶意数据传送到易受攻击的应用程序，且该应用程序将敏散数据包含在 HTTP 响应头文件中。

其中最常见的一种 Header Manipulation 攻击是 HTTP Response Splitting。为了成功地实施 HTTP Response Splitting 盗取，应用程序必须允许将那些包含 CR（回车，由 %0d 或 \r 指定）和 LF（换行，由 %0a 或 \n 指定）的字符输入到头文件中。攻击者利用这些字符不仅可以控制应用程序要发送的响应剩余头文件和正文，还可以创建完全受其控制的其他响应。

如今的许多现代应用程序服务器和框架可以防止 HTTP 头文件感染恶意察宏字符。例如，Microsoft 的 .NET 框架的最新版本会在 CR、LF 和 NULL 字符被传送给 HttpResponse.AddHeader() 方法时将其转换为 %0d、%0a 和 %00。如果您正在使用的最新的 .NET 框架不允许使用新行字符设置头文件，则应用程序便不会容易受到 HTTP Response Splitting 攻击。然而，单纯地过滤换行符可能无法保证应用程序不受 Cookie Manipulation 或 Open Redirects 的攻击，因此必须在设置带有用户输入的 HTTP 头文件时采取措施。

---