测试人社区

http响应拆分漏洞-- CRLF注入怎么测试

问题描述:

  • 环境:windows系统 web页面
  • 问题复述:1、使用burpsuite工具抓包,抓包后如何修改抓包信息,实现CRLF注入的检测?
    2、怎么判断是否是漏洞,或者是否已经修复?

相关log文件

直接将后缀名为.log的文件拖入输入框即可

相关代码(包括log文件,都要使用markdown代码格式,)

报错信息:

原因以及解决方式(没有可以写无):

原因:

解决办法:

这个漏洞应该在很多安全工具里都内置了对应的规则了,可以找下owasp-zap工具里的规则,也可以分析下他的规则自己编写个小工具。本质就是在http协议里修改下发送内容。

好的 谢谢老师
这个问题我解决了,通过在请求头部里修改响应头部有的字段,加入%0a/%0b,查看响应信息是否做了过滤,如果没有过滤就算缺陷