复现awvs——CRLF注入漏洞

Posted xiaochuhe.

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了复现awvs——CRLF注入漏洞相关的知识,希望对你有一定的参考价值。

一、CRLF介绍

CRLF是Carriage-Return Line-Feed的缩写,意思是回车换行,就是回车(CR, ASCII 13, \\r)、 换行(LF, ASCII 10, \\n)。换行在有的ASCII码表也用newline(简nl)来进行表示,这里的lf是line feed的概念,意思是一样的。

注:CRLF命令它表示是键盘上的"Enter"键(可以用来模拟回车键)。

Windows:使用CRLF表示行的结束

Linux/Unix:使用LF表示行的结束


二、CRLF注入


就是说黑客能够将CRLF命令注入到系统中。它不是系统或服务器软件的漏洞,而是网站应用开发时,有些开发者没有意识到此类攻击存在的可能而造成的。针对这个漏洞黑客能够做什么?就算黑客发现网站存在CRLF注入,他们仍然受到应用结构和这个缺陷的严重程度的限制。对有些站点它将非常严重,而有些站点它只是很小的bug。HTTP Header CRLF Injection,许多网络协议,包括HTTP也使用CRLF来表示每一行的结束。这就意味着用户可以通过CRLF注入自定义HTTP header,导致用户可以不经过应用层直接与Server对话。HTTP header的定义就是基于这样的"Key: Value"的结构,用CRLF命令表示一行的

以上是关于复现awvs——CRLF注入漏洞的主要内容,如果未能解决你的问题,请参考以下文章

xray与burpsuite联动——详细说明加举例复现sql注入漏洞

复现awvs———XSS(反射型)漏洞

xray与awvs联动——详细说明加举例复现xss漏洞

CRLF注入漏洞

CRLF注入漏洞

Web安全-HTTP响应拆分(CRLF注入)漏洞