当前位置: 首页 > news >正文

CRLF注入漏洞

news 2025/7/7 0:44:19

1.CRLF注入漏洞原理

Nginx会将 $uri进行解码,导致传入%0a%0d即可引入换行符,造成CRLF注入漏洞。

执行xss语句

2.漏洞扩展

CRLF 指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a)。

验证方法:通过修改HTTP参数或URL,注入恶意的CRLF,查看构造的恶意数据是否在响应头中输出。

找到输入点【一般在请求头/后】,构造恶意的CRLF字符,添加换行符+cookie,看响应是否出现cookie值和换行。

3.工具使用-CRLFuzz

▶ crlfuzz -u "URL"   单个扫描

漏洞存在会显示32m

http://www.lryc.cn/news/359209.html

相关文章:

  • 理解接口回调及其在 RabbitMQ 中的实际运用
  • 大模型日报2024-05-31
  • HarmonyOS 鸿蒙DevEco:导入无法运行提示Sync failed
  • kafka的安装
  • 代码随想录算法训练营第36期DAY45
  • springboot+vue 社区养老服务系统
  • AI 赋能前端 -- 文本内容概要生成
  • orin部署tensorrt、cuda、cudnn、pytorch、onnx
  • 使用javacv对摄像头视频转码并实现播放
  • Linux网络-Socket套接字_Windows与Linux端双平台基于Udp传输协议进行多线程跨平台的服务器与客户端网络通信的简易聊天室实现
  • 20分钟快速入门SQL
  • 汇总区间,合并区间
  • Web程序设计-实验05 DOM与BOM编程
  • Window系统安装Docker
  • RabbitMQ不完整的笔记
  • 微软Edge浏览器深度解析:功能、同步、隐私与安全
  • 网络性能测试工具:iperf3介绍
  • scp:Linux系统本地与远程文件传输命令
  • python基础(习题、资料)
  • shell脚本免交互
  • WPF学习笔记:给文字添加线性渐变效果
  • Fully Convolutional Networks for Semantic Segmentation--论文笔记
  • Camworks编程怎么样:深度解析其四大特点、五大应用领域、六大优势与七大挑战
  • 【Linux】操作系统之冯诺依曼体系
  • c++ QT 实现QMediaPlayer播放音频显示音频级别指示器
  • 失之毫厘差之千里之load和loads
  • element ui在移动端的适配问题
  • 堆排序详细理解
  • RK3588+FPGA+AI高性能边缘计算盒子,应用于视频分析、图像视觉等
  • 07-操作元素(键盘和鼠标事件)