漏洞概述 漏洞名称:CRLF注入(Improper Neutralization of CRLF Sequences) 漏洞描述:产品使用CRLF(回车换行符)作为特殊元素,例如分隔行或记录,但未正确中和或错误地中和了来自输入的CRLF序列。 漏洞ID:CWE-93 影响范围 影响:修改应用程序数据 范围:完整性 潜在后果: - 跨用户伪造 - Web和浏览器缓存投毒 - 跨站脚本 - 页面劫持 修复方案 实现阶段: - 避免将CRLF用作特殊序列。 - 适当过滤或引用用户输入中的CRLF序列。 POC代码 示例1 示例2 示例3 其他信息 相关视图: - 研究概念 - 软件开发 - 架构概念 引入模式: - 实现阶段:REALIZATION:此弱点是在实现架构安全战术时产生的。 适用平台: - 语言:非语言特定(未确定普遍性) 演示示例: - 示例1:HTTP响应拆分 - 示例2:YAML工作流脚本 - 示例3:日志消息注入 选定观察示例: - CVE-2002-1771 - CVE-2002-1783 - CVE-2004-1513 - CVE-2006-4624 - CVE-2005-1951 - CVE-2004-1687 弱点序数: - 主要:弱点独立于其他弱点存在 检测方法: - 自动化静态分析:SAST 成员关系: - OWASP Top Ten 2007 Category A2 - Injection Flaws - SFP Secondary Cluster: Tainted Input to Command - OWASP Top Ten 2021 Category A03:2021 - Injection - Comprehensive Categorization: Injection - OWASP Top Ten 2025 Category A05:2025 - Injection 漏洞映射笔记: - 使用:允许 - 原因:可接受的使用 - 理由:CWE条目在基本抽象级别,是映射到漏洞根本原因的首选抽象级别 - 评论:仔细阅读名称和描述,确保映射是合适的。不要试图“强制”映射到较低级别的BaseVariant,只需与这个首选的抽象级别保持一致。 分类法映射: - PLOVER: CRLF Injection - OWASP Top Ten 2007: A2 - Injection Flaws - WASC: 24 - HTTP Request Splitting - Software Fault Patterns: SFP24 - Tainted Input to Command 相关攻击模式: - CAPEC-15: Command Delimiters - CAPEC-81: Web Server Logs Tampering 参考文献: - Ulf Hammarström, "CRLF Injection", Bugtraq, 2002-05-07 - Imperva, "CRLF Injection", 2025-02-21 - R00tendo, "CRLF Injection", 2024-02-25 内容历史: - 提交日期:2006-07-19 - 提交者:PLOVER - 组织:PLOVER