CRLF注入 URL重定向 WEB拒絕服務
1.1CRLF
我們先了解一下什麼是CRFL注入
CRLF注入(CRLF Injection)是一種網路安全漏洞,攻擊者透過在輸入中插入回車(Carriage
Return, CR)和換行(Line Feed, LF)字元,從而操控伺服器或客戶端的行為,通常用於執行跨站
指令碼(XSS)、HTTP響應拆分攻擊(HTTP Response Splitting)等。
說人話就是透過在輸入中注入換行,實現對比如HTTP響應,日誌等檔案進行更改,從而更改服務
器的識別結果,之前我們在學習其他漏洞時其實已經用到了該手段,不是什麼重要的漏洞,不過我
們在使用其他漏洞時可能會用到
我們用工具去檢測是否存在該漏洞可以使用crlfuzz 這是用go寫的,執行時需要用到go的編譯
器。
1.2 URL重定向
很多網站需要實現跳轉功能,如果跳轉的目標網頁可以被我們控制,就存在URL重定向漏洞,對於
該漏洞,我們一般使用釣魚來進行利用,將跳轉頁面指向我們的釣魚網站,從而獲取目標的賬號密
碼。常見的該漏洞出現一般是使用者登陸介面,因為一般登陸後要進行跳轉
1.3 WEB拒絕服務
Web拒絕服務(Web Denial of Service, Web DoS 或者 Distributed Denial of Service, DDoS)是
一種網路攻擊形式,其目的是使網站或Web應用程式無法向合法使用者提供服務。這種攻擊透過耗
盡目標網站的資源,如頻寬、CPU時間、記憶體或者資料庫連線池等,導致網站響應變慢或者完全無
法訪問就比如如果網站可以根據使用者的輸入來改變顯示圖片的長,寬,而且對使用者的輸入沒有加判
斷,那麼當使用者輸入的數非常大時,伺服器解析圖片就會佔用較多的cpu資源,從而導致網站正常
功能受到影響,即當資源生成介面或引數可以被客戶端控制時,便會造成拒絕服務攻擊。
網站有壓縮包解壓功能,當我們上傳一個會無限解壓的壓縮包,如果網站設定的解壓功能是遞迴解壓,
那麼也會造成拒絕服務攻擊,佔用大量磁碟和cpu資源。