我们专注攀枝花网站设计 攀枝花网站制作 攀枝花网站建设
成都网站建设公司服务热线:400-028-6601

网站建设知识

十年网站开发经验 + 多家企业客户 + 靠谱的建站团队

量身定制 + 运营维护+专业推广+无忧售后,网站问题一站解决

CRLF注入漏洞

CRLF是“回车 + 换行”(\r\n)的简称。在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器就是根据这两个CRLF(使用payload %0a%0d%0a%0d进行测试)来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie(http://www.xx.com%0a%0d%0a%0dSet-cookie:JSPSESSID%3Dxxx)或者HTML代码(http://www.xx.com/?url=%0a%0d%0a%0d),所以CRLF Injection又叫HTTP Response Splitting,简称HRS。

成都网络公司-成都网站建设公司成都创新互联十年经验成就非凡,专业从事成都网站建设、做网站,成都网页设计,成都网页制作,软文推广1元广告等。十年来已成功提供全面的成都网站建设方案,打造行业特色的成都网站建设案例,建站热线:028-86922220,我们期待您的来电!

修复建议:

过滤\r 、\n之类的换行符,避免输入的数据污染到其他HTTP头。


网页题目:CRLF注入漏洞
网站链接:http://shouzuofang.com/article/jpphpi.html

其他资讯