CRLF Injection Into PHP’s cURL Options
# CRLF注入攻击与PHP cURL选项漏洞详解
## 漏洞概述
CRLF(回车换行)注入是一种通过注入特殊字符(回车符%0d和换行符%0a)来控制HTTP请求结构的攻击技术。在PHP的cURL选项中,当用户可控数据未经适当处理就直接用于设置HTTP头部时,攻击者可以利用此漏洞注入任意HTTP头部甚至修改请求体。
## 漏洞发现背景
作者在审查PHP代码时发现了一个处理"试用组"的函数:
```php
function getTrialGroups() {
$trialGro
2025-08-26 22:23:07
0