HTTP响应头拆分攻击(又名曰CRLF注入)
最虐不过等不到南康白起35岁,吴邪等不到张起灵。
漏洞概述:
- CRLF注入攻击是比较新颖的一种Web攻击方式,如Web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞等。主要是由于Web应用程序未对用户提交的数据进行严格过滤和检查,导致攻击者可以提交一些恶意字符如(CR、LF等)然后进行构造恶意代码进行攻击。
基本原理:
-
CR:对应ASCII中转义字符\r,即回车(%0d)
-
LF:对应ASCII中转义字符\n,即换行(%0a)
-
CRLF:\r\n,即回车并换行
-
漏洞主要原理是由于HTTP Header与 Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF来取出HTTP 内容并显示出来,如果我门可以看着Body,你懂的!
漏洞案例:
正常一般网站会在HTTP头中用Location: ip这种方式来进行302跳转,所以我们能控制的内容就是Location:后面的内容!
- 如设置session,进行会话固定
%0aSet-cookie:sessionid%3D1111iamcatcatcatcatcat
- 如跨站脚本
%0a%0a%0d%0d<img src=1 onerror=alert(1)>
- 更好玩的做法
%0a%0d%250d%250aContentLength%3a%25200%0a%0a%0d%0d%250d%250a%0a%0dHTTP%2f1.1%2520200%2520O%0a%0dContentType%3a%2520text%2fhtml%0aContent-Length%3a%252024%0a%3chtml%3ecatcat%3c%2fhtml%3e
浏览器接收到HTTP响应后解析到Content-Length: 0,认为响应内容已经结束,然后你懂的自己玩吧!
漏洞修复:
-
过滤 \r 、\n 之类的行结束符,避免输入的数据污染其他 HTTP 首部字段。
余生很长,请多指教。