CRLF Injection (CRLF注入)

目录

漏洞简介

形成原理

PHP

Java

影响范围

利用方式

修复方案


web安全学习了解: web渗透测试          
官网: 宣紫科技         

漏洞简介

CRLF是”回车 + 换行”(\r\n)的简称。在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来。所以,一旦能够控制HTTP 消息头中的字符,注入一些恶意的换行,这样就能注入一些会话Cookie或者HTML代码,所以CRLF Injection又叫HTTP Response Splitting,简称HRS。HRS是比XSS危害更大的安全问题。

形成原理

在HTTP协议中,HTTP头是通过”\r\n”来分隔的。因此如果服务端没有过滤”\r\n”,而又把用户输入的数据放在HTTP头中,则有可能导致安全隐患。

PHP

<?php
    header('Location : test' . $user_data);
    ...

Java

String author = request.getParameter(AUTHOR_PARAM);
...
Cookie cookie = new Cookie("author", author);
cookie.setMaxAge(cookieExpiration);
response.addCookie(cookie);

影响范围

  • CRLF常被用做不同语义之间的分隔符。因此通过”注入CRLF字符”,就有可能改变原有的语义,达到误导用户的目的。

利用方式

这个例子通过CRLF注入完成了一次XSS攻击。在参数中插入CRLF字符:

<form id="x" action="http://login.u51.com/login.do?email=a%0d%0a%0d%0a<script>alert(/xss/);</script>" method="post">
<input name="password" value="testtest">
...
</form>

服务端返回:

HTTP/1.1 200 OK
Server: nginx
Set-Cookie: _de=a

<script>alert(/xss/);</script>; domain=.u51.com; expires=Thu, 10-Dec-2017 GMT
...

注意到服务器返回时,在Set-Cookie的值里插入了两次”\r\n”换行符。而两次”\r\n”意味着HTTP头的结束,在两次CRLF之后跟着的是HTTP Body。攻击者在两次CRLF之后构造了恶意的HTML脚本,从而得以执行,XSS攻击成功。

修复方案

  1. 过滤”%0d%0a”;
  2. 对需要set到HTTP响应头的输入、输出进行URL-encode处理。
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值