HTTP响应头拆分漏洞HTTP响应头拆分漏洞Byivory（isno@qq.com）一：前言“HTTP响应头拆分漏洞”是一种新型的web攻击方案，它重新产生了很多安全漏洞包括：web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击方案，包括其衍生的一系列技术产生，是由于web应用程序没有对用户的提交进行严格过滤，导致非法用户可以提交一些恶意字符，更具体来说，是对用户输入的CR和LF字符没有进行严格的过滤。“HTTP响应头拆分漏洞”及其相关的攻击手段可以在很多的web环境中实现，包括微软的asp、asp.net，IBMWebSphere，BEAWebLogic，JakartaTomcat，MacromediaoldFusion/MX，SunMicrosystemsSunONE；流行的Squid和Apache服务器；流行的微软IE6.0浏览器。我不是在吹牛，很多大的站点都存在这样的漏洞，这让我大吃一惊。这篇文章将描述攻击的概念并且提供一些使用实例分析。二：介绍在HTTP响应头拆分攻击中具体牵涉到三个对象：1．漏洞服务器：即存在漏洞的服务器。2．攻击工具：比如浏览器，类似IE6.0。3．攻击者：发动攻击的人。HTTP响应头拆分攻击本质是：攻击者可以发送一个或几个HTTP指令迫使漏洞服务器产生一个攻击者构想好的输出。它可以让服务器误把几条HTTP请求看成一次完成的HTTP请求来解释。第一条请求也许攻击者部分控制着一部分，但这并不是危险的；危险的是，攻击者完全控制着第二条HTTP请求，即从HTTP状态行一直到HTTP请求的尾部。如果这样可行，攻击者就会发送多个请求指令到目标系统：第一条使得服务器完全接受两个HTTP响应，第二条响应通常是在服务器上请求一些非法资源，而服务器将会自动匹配到第二条响应，输出攻击者想要请求的资源，从而达到攻击者的目的。通过这个思路，我们可以构造出形形色色的攻击，具体来说：1跨站脚本攻击（XSS）：这是一个非常普通和老式的漏洞，它可以让用户通过运行了一段javascript或者html代码后，可以截取该用户的cookie和session。但是到现在，通过一些重定向脚本发起一次XSS攻击是很困难的，尤其是当用户使用最新补丁的IE浏览器的时候，除非位置头是完全控制的。但是当结合HTTP响应头攻击确是可以非常简单实现，即使只是部分控制位置头。2web缓存中毒（我们称之为web损耗）：这是一个新的攻击技术，攻击者强迫服务器高速缓存中记录了第二次HTTP请求，而服务器中的高速缓存记录的第二次请求是经过攻击者精心构造的。这将成功的对目标站点进行损耗，当其他人访问目标站点时，他们仅仅读取了高速缓存里的数据，造成站点被“黑”的假象。当然，除了站点损耗之外，攻击者也可以偷取用户的session和cookie。3通过对用户的攻击：这是第二种方式的一个特殊情况。它对单个用户的欺骗、对服务器单个页面的损耗，和暂时的磨损，也可以偷取到特定用户的session和cookie。4劫持具体用户的页面敏感信息：攻击者欺骗服务器，并取得敏感用户的权限，并进入其用户的状态，访问到一些秘密信息。5浏览器高速缓存中毒：这也是一项最新的攻击方式，它这和跨站脚本攻击方式有点类似，唯一的差别就是攻击者强迫浏览器高速缓存中记录一个长和持续的磨损的网页，直到浏览器的高速缓存已经清洁。对于这些我将在后面一一作介绍。三：web高速缓存中毒的实现由于这是一个新兴的技术，所以这个段落我将对web高速缓存中毒的实现做进一步的分析。1毒害反向代理高速缓存：即电子涂写。在这种方式中，攻击者将直接面向网站。当然最厉害的手法是磨损该网站的首页，这样所有客户端将都受到影响，这也是最漂亮的手段，但是这样很容易被发现。2毒害一台中间高速缓存服务器：迂回。这种方式被发现是很困难的，中间缓存服务器是有很多的，而且漏洞服务器不可能占有所有的中间缓存服务器，这些服务器很有可能不是在同一个地方，比如我们攻击台湾的站点，我们很有可能会先攻击一台位于美国的中间缓存服务器，即使被调查到了也是要很久的，也许我们早就有时间把所有的信息给清除。3毒害浏览器高速缓存：一针见血。攻击者很有可能会瞄准到一个特殊用户，例如从一个很富有的用户那里偷取到证书，这样的攻击将会变得很独特而且很难实施。因为，它不同于跨站脚本攻击，而且被毒害的页面要始终保持在高速缓存中以等待受害者（即你所瞄准的用户）来装载，有时候受害者从来都不会登陆到那个页面，或者是受害者浏览器禁止了JAVA脚本的执行等等，都会造成无法成功。四：HTTP响应头漏洞攻击基本技术。HTTP响应头攻击把代码嵌入到用户信息中并放在HTTP头部，也发生在把用户信息和代码嵌入到重定向到的URL中，或者把脚本嵌入到cookie值或者name里。在第一条响应中