CRLF注入漏洞

LfanBQX2024-06-02 23:11

1.CRLF注入漏洞原理

Nginx会将 $uri进行解码,导致传入%0a%0d即可引入换行符,造成CRLF注入漏洞。

执行xss语句

2.漏洞扩展

CRLF 指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a)。

验证方法:通过修改HTTP参数或URL,注入恶意的CRLF,查看构造的恶意数据是否在响应头中输出。

找到输入点【一般在请求头/后】,构造恶意的CRLF字符,添加换行符+cookie,看响应是否出现cookie值和换行。

3.工具使用-CRLFuzz

复制代码 
▶ crlfuzz -u "URL"   单个扫描

漏洞存在会显示32m

相关推荐
ml魔力信息12 分钟前
活体检测与防伪技术的安全与隐私分析
大数据·人工智能·安全·隐私保护·生物识别·活体检测
hhhhhlt14 分钟前
【代码大模型-后门安全】Backdoors in Neural Models of Source Code
人工智能·安全
乾博电子15 分钟前
配电安全“隐形哨兵”上线!RCMX-ONE剩余电流监视器,守护每一度电的安心
安全·故障定位·在线绝缘监测仪·绝缘监测仪
智驱力人工智能16 分钟前
工厂抽烟检测系统 智能化安全管控新方案 加油站吸烟检测技术 吸烟行为智能监测
人工智能·算法·安全·边缘计算·抽烟检测算法·工厂抽烟检测系统·吸烟监测
爱笑的眼睛112 小时前
HarmonyOS SaveButton深度解析:安全便捷的媒体资源保存方案
安全·华为·harmonyos·媒体
lypzcgf8 小时前
Coze源码分析-资源库-编辑数据库-后端源码-安全与错误处理
数据库·安全·系统架构·coze·coze源码分析·ai应用平台·agent平台
Ytadpole8 小时前
客户端加密 和 服务端加密:端到端安全的真正含义
安全·加解密
huohaiyu8 小时前
synchronized (Java)
java·开发语言·安全·synchronized
无锡布里渊10 小时前
分布式光纤声波振动传感:守护智慧城市燃气管网安全的 “神经末梢”
人工智能·安全·智慧城市
Bruce_Liuxiaowei12 小时前
内网连通性判断:多协议检测方法与应用
运维·安全·网络安全
热门推荐
01两千字总结:Codex 国内如何安装和使用的教程,以及如何设置中文回答02GitHub 镜像站点03UV安装并设置国内源04智能库存管理的需求预测模型:从业务痛点到落地代码的完整实践0546个Nano-banana 精选提示词,持续更新中06GitLab 零基础入门指南:从安装到项目管理全流程07Linux下V2Ray安装配置指南08一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示09Cursor Plan Mode:AI 终于知道先想后做了10jdk21下载、安装(Windows、Linux、macOS)