HTTP CRLF注入攻击

大家好，今天我们来聊聊一个与网络安全相关的重要话题——CRLF注入（CRLF Injection）。了解这种安全漏洞有助于我们更好地保护我们的应用程序和用户数据。

什么是CRLF？

CRLF代表Carriage Return (回车) 和 Line Feed (换行)，分别用两个ASCII字符表示：\r（ASCII 13）和\n（ASCII 10）。它们通常一起使用，表示一行文本的结束和新行的开始。CRLF在很多网络协议（如HTTP）和文件格式中都被广泛使用。

CRLF注入简介

CRLF注入是指攻击者通过在输入中插入这些特殊字符（\r\n），改变服务器处理请求或响应的方式，从而实现各种攻击目的的安全漏洞，主要危害如下：

• 跨站脚本攻击（XSS）：通过在HTTP响应头中注入恶意脚本，可以诱使浏览器执行这些脚本。

• 注入恶意Cookie：如前例，通过重复的Set-Cookie头，攻击者可以施加恶意的Cookie。

• HTTP响应拆分：引发的响应体劫持或伪造，从而可能实施一些进一步的攻击。

• 缓存中毒：耍贱骗缓存服务器记录恶意内容，影响后续的合法用户。

注入原理

在Web应用中，许多操作需要处理用户输入并生成HTTP响应头。如果应用程序没有妥善处理用户输入，攻击者可以通过插入CRLF字符，改变HTTP响应头的结构，注入额外的HTTP头或者分割HTTP响应体。

典型攻击场景

会话劫持

通过重复的Set-Cookie头，攻击者可以施加恶意的Cookie，实现会话劫持。假设有一个应用程序需要将用户输入添加到HTTP响应头中：

app.get('/setCookie', (req, res) => {const userInput = req.query.userInput;res.setHeader('Set-Cookie', `name=${userInput}`);res.end('Cookie has been set');
});

如果没有对用户输入进行妥善的验证和过滤，攻击者可以构造如下请求：

GET /setCookie?userInput=value%0d%0aSet-Cookie:+isAdmin=true HTTP/1.1
Host: example.com

接收到这个请求后，服务器生成的响应头如下：

HTTP/1.1 200 OK
Set-Cookie: name=value
Set-Cookie: isAdmin=true
Content-Length: ...
Content-Type: text/plainCookie has been set

这样，攻击者就成功地通过CRLF注入修改了服务器的HTTP响应头，设置了一个额外的Cookie。

响应拆分

HTTP响应拆分（HTTP Response Splitting）是一种常见的利用CRLF注入的攻击方法。通过这种攻击，攻击者可以在响应头中插入额外的恶意内容，导致服务器发送两个或者更多的HTTP响应。

示例前提

假设我们有一个简单的Web应用，用户可以通过一个查询参数来设置响应头中的一个自定义字段。这个应用的代码可能如下：

const express = require('express');
const app = express();app.get('/welcome', (req, res) => {const userInput = req.query.userInput;res.setHeader('X-Welcome-Message', `Welcome ${userInput}`);res.send('<h1>Welcome to our website!</h1>');
});app.listen(3000, () => {console.log('Server is running on port 3000');
});

在上面的代码中，/welcome 端点会从查询参数 userInput 中读取用户输入，并将其设置为响应头中的 X-Welcome-Message 值。虽然这个代码看起来很好，但如果没有对 userInput 进行适当的验证和过滤，可能会导致HTTP响应拆分攻击。

恶意请求

攻击者可以构造一个恶意URL，通过注入CRLF字符（\r\n）来分割HTTP响应头和体，从而将一个响应拆分成两个响应。假设攻击者发送如下恶意请求：

GET /welcome?userInput=value%0d%0aContent-Length:%200%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%2014%0d%0a%0d%0a<h1>Pwned!</h1> HTTP/1.1
Host: example.com

我们来解析一下这个URL中的 userInput 值：

value\r\nContent-Length: 0\r\nHTTP/1.1 200 OK\r\nContent-Type: text/html\r\nContent-Length: 14\r\n\r\n<h1>Pwned!</h1>

服务器生成的响应

在这个恶意请求中，userInput 包含了CRLF字符，导致服务器生成的HTTP响应被拆分成两个部分。以下是服务器生成的实际响应：

第一部分（原始响应被截断）：

HTTP/1.1 200 OK
X-Welcome-Message: Welcome value
Content-Length: 0

第二部分（攻击者注入的响应）：

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 14<h1>Pwned!</h1>

具体分析

1. 第一部分：响应头 X-Welcome-Message 包含了注入的 CRLF 字符，从而将原始响应分成了两个不同的响应部分。
2. 第二部分：攻击者构造的恶意响应，包含一个新的状态行、响应头和响应体，浏览器将其解释为一个完整的HTTP响应。

防御措施

1. 对用户输入进行严格验证和过滤：在处理用户输入时，确保所有输入内容安全，并对某些特殊字符进行适当转义或过滤。
2. 使用框架提供的安全库：大多数现代Web框架都提供了安全库和方法用于防止这种类型的注入攻击。
3. 设置正确的Content-Type：确保每个HTTP响应都有明确的内容类型设置，减少内容被错误解析或执行的风险。
4. 正则表达式过滤：通过正则表达式来过滤掉用户输入中的CRLF字符。
5. 使用第三方库和工具：可以使用一些现成的库或工具来检测和防御CRLF注入攻击，如OWASP提供的安全工具。

代码示例

让我们修改上面的代码，添加防御措施：

const express = require('express');
const app = express();// 过滤用户输入中的CRLF字符
function sanitizeInput(input) {return input.replace(/[\r\n]/g, '');
}app.get('/welcome', (req, res) => {const userInput = sanitizeInput(req.query.userInput);res.setHeader('X-Welcome-Message', `Welcome ${userInput}`);res.send('<h1>Welcome to our website!</h1>');
});app.listen(3000, () => {console.log('Server is running on port 3000');
});

在这个修改后的代码中，我们添加了一个 sanitizeInput 函数，它会去除用户输入中的 \r 和 \n 字符，从而防止HTTP响应拆分攻击。

总结

CRLF注入是一种利用Carriage Return（\r）和Line Feed（\n）字符的注入攻击，常见于HTTP响应拆分攻击。了解和防御这种攻击对维护Web应用的安全至关重要。通过严格验证用户输入，使用安全库，正确设置响应头的内容类型等方法，可以有效防止CRLF注入相关的安全漏洞。希望这次的讲解对大家了解CRLF注入有帮助。如果有任何疑问或进一步的讨论，欢迎留言交流。感谢大家的阅读，我们下次再见！