HTTP 响应分割漏洞
1.漏洞概述
HTTP 响应拆分发生在以下情况:
- 数据通过不受信任的来源(最常见的是 HTTP 请求)进入 Web 应用程序。
- 该数据包含在发送给 Web 用户的 HTTP 响应标头中,且未经过恶意字符验证。
从根本上来说,攻击很简单:攻击者将恶意数据传递给易受攻击的应用程序,并且该应用程序将数据包含在 HTTP 响应标头中
要成功利用该漏洞,应用程序必须允许将包含 CR(回车符,也由 %0d
或 \r
给出)和 LF(换行符,也由 %0a
或 \n
给出)字符输入到标头
2.漏洞案例
以下代码段从 HTTP 请求中读取博客条目作者的姓名,并将其设置在 HTTP 响应的 cookie 标头中:
java
String author = request.getParameter(AUTHOR_PARAM);
...
Cookie cookie = new Cookie("author", author);
cookie.setMaxAge(cookieExpiration);
response.addCookie(cookie);
一个正常的请求(例如"Jane Smith"),则包含此 cookie 的 HTTP 响应可能采用以下形式:
HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...
如果攻击者提交恶意字符串,例如"Wiley Hacker\r\nContent-Length:999\r\n\r\n...
",则 HTTP 响应将被拆分为冒名顶替者响应,后跟原始响应:
HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker
Content-Length: 999
<html>malicious content...</html> (to 999th character in this example)
Original content starting with character 1000, which is now ignored by the web browser...
攻击者构造任意 HTTP 响应的能力允许产生各种攻击,包括:跨用户破坏、缓存中毒、跨站点脚本 (XSS)和页面劫持