如何防止 php 中的 CRLF 注入(Http 响应拆分)

How to prevent CRLF injection (Http response splitting) in php

我在 php 中进行了防止 CRLF 注入的研发,但我没有在我的案例中找到任何解决方案,因为我正在使用 burp 套件工具注入一些 headers 使用CRLF 字符如下所示。

// Using my tool i put CRLF characters at the start of my request url 
GET /%0d%0a%20HackedHeader:By_Hacker controller/action

//This generates an header for me like below
HackedHeader:By_Hacker

所以我可以像上面那样修改所有 headers

这个工具就像一个代理服务器,所以它捕获请求并给出响应,我们可以按照我们想要的方式修改响应。

所以我只是通过使用 CRLF 字符注入一些 header 来修改响应。现在服务器通过在响应中注入 CRLF 字符来响应此请求。

我只是担心 header 字段,如 Pragma、Cache-Control、Last-Modified 会导致缓存中毒攻击。

header 和 setcookie 包含针对 response/header 拆分的缓解措施,但这些不能支持我解决上述问题

编辑

当我请求 mysite.com 联系我们页面时,如下所示这是我在我的工具中捕获的请求,如下所示

Request headers:
GET /contactus HTTP/1.1
Host: mysite.com
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive

我得到了上述请求的响应 HTML

现在,对于使用该工具的相同请求,我正在添加自定义 headers,如下所示

Request Headers:
GET /%0d%0a%20Hacked_header:By_Hacker/contactus HTTP/1.1
Host: mysite.com
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive

Response Headers:
HTTP/1.1 302 Found
Date: Fri, 10 Jul 2015 11:51:22 GMT
Server: Apache/2.2.22 (Ubuntu)
Last-Modified: Fri, 10 Jul 2015 11:51:22 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Location: mysite.com
 Hacked_header:By_Hacker/..
Vary: Accept-Encoding
Content-Length: 2
Keep-Alive: timeout=5, max=120
Connection: Keep-Alive
Content-Type: text/html; charset=UTF-8

在上面的response

中可以看到注入的headerHacked_header:By_Hacker/..

php 或 apache 服务器配置是否有防止此类 header 黑客攻击的方法?

不确定为什么所有的反对票 - 事实上,这是一个有趣的问题:)

我看到您已经标记了 CakePHP - 这意味着您的应用程序正在使用 Cake Framework...太棒了!如果您使用的是 Cake 3,它会自动剥离:%0d%0a

或者,在您收到响应 header 的地方,只需脱掉 %0d%0a 就可以了!

可以应用此类内容的地方 - 第 3 方 API 响应或说...Webhook 响应!或处理 intl.. 的一种处理不当的方式。示例:lang=en 到 lang=fr,其中 GET 参数直接设置为响应 header... 这不是明智之举!

理想情况下,响应将是 GET 而不是 header,但无论哪种方式,只要去掉 %0d%0a 就可以了。

正在回答您的编辑。

You can see the injected header Hacked_header:By_Hacker/.. in the above response

注射 header 无法控制或停止,伙计。我们无法控制其他服务器的行为。

问题是..你如何处理响应header?

答案是...你把它清理干净,因为ndm 说你需要清理输入.. 你得到的响应是输入。一旦检测到 %0d%0a,就丢弃响应。

需要代码工作?

<?php
$cr = '/\%0d/';
$lf = '/\%0a/';

$response = // whatever your response is generated in;
$cr_check = preg_match($cr , $response);
$lf_check = preg_match($lf , $response);

if (($cr_check > 0) || ($lf_check > 0)){
    throw new \Exception('CRLF detected');
}