一、漏洞本质与协议基础
HTTP协议采用文本格式传输数据,其响应报文由状态行、首部字段和主体三部分构成,各部分通过CRLF(回车换行,即\r\n或%0d%0a)分隔。例如:
HTTP/1.1 200 OK\r\nContent-Type: text/html\r\n\r\n<html>...</html>
当Web应用未对用户输入中的CRLF字符进行过滤时,攻击者可构造恶意输入破坏响应结构。例如在Location重定向字段中注入:
GET /redirect?url=http://example.com%0d%0aSet-Cookie:%20sessionid=evil HTTP/1.1
此时响应会被拆分为两个独立报文,第二个报文可伪造合法响应头实施攻击。
二、攻击链与典型场景
1. 响应拆分的核心步骤
- 输入注入:攻击者在URL参数、表单字段或HTTP头(如
User-Agent、X-Forwarded-For)中插入CRLF序列。 - 报文截断:未过滤的CRLF被解析为行结束符,导致原始响应头提前终止。
- 头部注入:在截断位置插入恶意头部字段(如
Set-Cookie、Content-Length)。 - 内容篡改:完全控制后续响应主体,可嵌入恶意脚本或伪造页面。
2. 常见攻击场景
- 会话劫持:通过注入
Set-Cookie字段覆盖合法会话ID。 - XSS攻击:在响应主体中插入
<script>标签,结合MIME类型混淆绕过过滤。 - 缓存投毒:污染CDN或浏览器缓存,使所有用户接收恶意响应。
- 开放重定向:篡改
Location字段将用户导向钓鱼站点。
案例:某云厂商的代理模块曾因未过滤CRLF导致漏洞(CVE-2022-37436),攻击者可构造如下请求:
GET /proxy?target=http://victim.com%0d%0aX-Injected-Header:%20Evil HTTP/1.1
使代理服务器返回被篡改的响应头。
三、防御技术体系
1. 输入验证与净化
- 严格过滤:移除所有用户输入中的
\r、\n字符,或将其替换为空格。 - 白名单机制:仅允许已知安全的字符集(如字母、数字、
-_./等)。 - 编码转换:对动态生成的头部字段进行URL编码或HTML实体编码。
PHP示例:
function sanitizeHeader($input) {return str_replace(["\r", "\n"], '', $input);}header("Location: " . sanitizeHeader($_GET['url']));
2. 协议层防护
- 固定响应结构:避免将用户输入直接拼接到头部字段,改用预定义的模板。
- Content-Length校验:确保响应体长度与声明值一致,防止注入额外内容。
- HTTP/2优先:二进制分帧协议天然免疫CRLF注入攻击。
3. 框架与中间件加固
- Web框架配置:启用安全中间件自动过滤危险字符(如某框架的
Strict-Transport-Security中间件)。 - WAF规则:部署正则表达式规则匹配CRLF序列(如
\r|\n|\x0d|\x0a)。 - CDN策略:在边缘节点剥离可疑头部字段,仅放行白名单内的标准字段。
四、检测与修复流程
1. 漏洞扫描
- 静态分析:检查代码中是否存在直接拼接用户输入到头部字段的逻辑。
- 动态检测:使用工具发送包含
%0d%0a的测试用例,观察响应是否被拆分。 - 模糊测试:自动化生成变异输入,覆盖边界值和特殊字符组合。
2. 修复方案
- 紧急补丁:对受影响组件升级到最新版本(如Apache mod_proxy≥2.4.55)。
- 热修复:在反向代理层添加CRLF过滤规则,作为临时防护措施。
- 代码重构:重构头部生成逻辑,采用安全的字符串拼接函数。
五、行业最佳实践
- 最小权限原则:限制Web应用写入HTTP头的权限,仅允许必要的字段(如
Content-Type)。 - 安全开发生命周期(SDL):将CRLF检测纳入代码审查和安全测试环节。
- 日志监控:记录所有包含CRLF的请求,用于异常行为分析。
- 依赖管理:定期更新第三方库,避免使用存在已知漏洞的组件。
结语
HTTP响应拆分漏洞的本质是协议设计缺陷与输入验证缺失的双重叠加。随着HTTP/2和HTTP/3的普及,此类攻击的影响范围逐渐缩小,但在遗留系统和特定场景中仍需警惕。开发者应建立“防御性编程”思维,通过输入净化、协议加固和运行时监控构建多层次防护体系,从根本上杜绝此类漏洞的发生。