CRLF注入漏洞

CRLF是“回車 + 換行”（\r\n）的簡稱。在HTTP協(xié)議中，HTTP Header與HTTP Body是用兩個(gè)CRLF分隔的，瀏覽器就是根據(jù)這兩個(gè)CRLF（使用payload %0a%0d%0a%0d進(jìn)行測試）來取出HTTP內(nèi)容并顯示出來。所以，一旦我們能夠控制HTTP消息頭中的字符，注入一些惡意的換行，這樣我們就能注入一些會(huì)話Cookie（http://www.xx.com%0a%0d%0a%0dSet-cookie:JSPSESSID%3Dxxx）或者HTML代碼（http://www.xx.com/?url=%0a%0d%0a%0d），所以CRLF Injection又叫HTTP Response Splitting，簡稱HRS。

成都網(wǎng)絡(luò)公司-成都網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)十年經(jīng)驗(yàn)成就非凡，專業(yè)從事成都網(wǎng)站建設(shè)、做網(wǎng)站，成都網(wǎng)頁設(shè)計(jì)，成都網(wǎng)頁制作，軟文推廣，1元廣告等。十年來已成功提供全面的成都網(wǎng)站建設(shè)方案，打造行業(yè)特色的成都網(wǎng)站建設(shè)案例，建站熱線：028-86922220，我們期待您的來電！

修復(fù)建議：

過濾\r 、\n之類的換行符，避免輸入的數(shù)據(jù)污染到其他HTTP頭。

分享文章：CRLF注入漏洞
網(wǎng)站鏈接：http://m.jiaotiyi.com/article/jpphpi.html