Crlf-Инъекции И Разделение Http-Ответов

Здравствуйте, хабровчане! В ожидании начала занятий в следующей группе профессионального курса «Безопасность веб-приложений» , мы подготовили для вас еще один полезный перевод.

Что такое КРЛФ?

Заголовки HTTP и ответ HTML (содержимое сайта) разделяются определенной комбинацией специальных символов, а именно возвратом каретки и переводом строки.

Это сокращенно CRLF. Веб-сервер использует CRLF, чтобы понять, где начинается новый HTTP-заголовок и заканчивается старый.

CRLF также может сообщить веб-приложению или пользователю, что в файле или блоке текста начинается новая строка.

Символы CRLF представляют собой стандартное сообщение HTTP/1.1, поэтому они используются веб-серверами любого типа, включая Апач , Microsoft IIS и другие.

Что такое инъекция CRLF?

Таким образом, последовательности CRLF сами по себе не являются вредоносными символами, но могут быть использованы злоумышленниками для разделения HTTP-ответов (HTTP Response Splitting).

Внедрение CRLF в веб-приложения

Последствия могут варьироваться от раскрытия конфиденциальной информации до выполнения вредоносного кода, что напрямую влияет на уровень безопасности веб-приложения.

Фактически, атака с внедрением CRLF может нанести серьезный ущерб веб-приложению, несмотря на то, что она не включена в список 10 лучших OWASP. Например, это можно использовать для изменения журналов в панели администратора, как показано в примере ниже.

Пример внедрения CRLF в логи

IP-время-путь как показано ниже:

   

 123.123.123.123 - 08:15 - /index.phpЭpage=home

   

Он может изменить ответ веб-приложения примерно на это:

/index.phpЭpage=home&%0d%0a127.0.0.1 - 08:15 - /index.phpЭpage=home&restrictedaction=edit

Здесь %0d и %0a — символы CR и LF в URL-кодировке.

Таким образом, после того как злоумышленник вставит эти символы и приложение их выведет, логи будут выглядеть так: IP-время-путь

123.123.123.123 - 08:15 - /index.phpЭpage=home& 127.0.0.1 - 08:15 - /index.phpЭpage=home&restrictedaction=edit

Таким образом, используя инъекции CRLF, злоумышленник может подделать записи журнала, чтобы замести следы.

Злоумышленник буквально захватывает страницу и меняет ответ. Например, представьте себе сценарий, в котором злоумышленник имеет пароль администратора и выполняет параметр ограниченное действие , который может использовать только администратор.

Проблема в том, что если администратор заметит, что неизвестный IP использует параметр ограниченное действие , тогда он поймет, что что-то не так.

Однако, пока кажется, что команда была введена локальным хостом (и, следовательно, вероятно, кем-то, у кого есть доступ к серверу, например администратором), это не будет выглядеть подозрительно.

Часть запроса, начинающаяся с %0d%0a, будет обработана сервером как один параметр.

После этого появится еще один & с параметром ограниченное действие , который будет воспринят сервером как еще один параметр.

По сути, это будет тот же запрос, что и:

/index.phpЭpage=home&restrictedaction=edit

Разделение HTTP-ответа

Описание

CRLFCRLF сообщит браузеру, что заголовок заканчивается и начинается тело.

Это означает, что теперь он может записывать данные в тело ответа, где находится HTML-код. Это может привести к уязвимости межсайтового скриптинга.

Пример разделения HTTP-ответа, приводящего к XSS

Если кодировка URL-адреса отсутствует и значение просто содержится в заголовке, злоумышленник может вставить указанную выше комбинацию CRLFCRLF, чтобы сообщить браузеру о необходимости запуска тела запроса.

Таким образом, он может вставлять данные, например полезную нагрузку XSS:

Эname=Bob%0d%0a%0d%0a<script>alert(document.domain)</script>

Вышеуказанное отобразит окно предупреждения в контексте атакованного домена.

Внедрение HTTP-заголовка

Описание

Таким образом, злоумышленник может получить конфиденциальную информацию, такую как токены CSRF. Он даже может устанавливать файлы cookie, которые можно использовать, зарегистрировав жертву в учетной записи злоумышленника или воспользовавшись уязвимостью.

межсайтовый скриптинг (XSS) .

Пример внедрения HTTP-заголовка для извлечения конфиденциальных данных

Последствия инъекции CRLF

Таким образом, можно отключить некоторые ограничения безопасности, такие как XSS-фильтры и политику одинакового происхождения, в браузерах жертвы, что делает их уязвимыми для вредоносных атак.

Как предотвратить внедрение заголовков CRLF/HTTP в веб-приложениях

Если это невозможно, всегда следует использовать функцию кодирования специальных символов CRLF. Еще одна хорошая практика обеспечения безопасности — обновить язык программирования до версии, которая не допускает внедрения CR и LF внутри функций, устанавливающих HTTP-заголовки.

Таблица классификации уязвимостей и их серьезности

• Мафия И Шпионское По

  19 Oct, 24

• План Аварийного Восстановления - (Часть 4)

  19 Oct, 24

• Paypal Покупает Израильский Стартап По Кибербезопасности Cyactive - Reuters

  19 Oct, 24

• Салат Вместо Картофеля

  19 Oct, 24

• Рекламная История Apple

  19 Oct, 24

• Автоматическая Настройка Icecast2 И Mpd Для Нескольких Аудиопотоков

  19 Oct, 24

• Что Такое Память Lpddr5? - Анализ

  19 Oct, 24

• Как Превратить Ядро ​​Linux В Windows?

  19 Oct, 24

• В Защиту Javascript:void(0);

  19 Oct, 24

• Обзор 7 Самых Популярных Кроссплатформенных Мобильных Фреймворков

  19 Oct, 24