CRLF注入 URL重定向 WEB拒绝服务

1.1CRLF

我们先了解一下什么是CRFL注入

CRLF注入（CRLF Injection）是一种网络安全漏洞，攻击者通过在输入中插入回车（Carriage

Return, CR）和换行（Line Feed, LF）字符，从而操控服务器或客户端的行为，通常用于执行跨站

脚本（XSS）、HTTP响应拆分攻击（HTTP Response Splitting）等。

说人话就是通过在输入中注入换行，实现对比如HTTP响应，日志等文件进行更改，从而更改服务

器的识别结果，之前我们在学习其他漏洞时其实已经用到了该手段，不是什么重要的漏洞，不过我

们在使用其他漏洞时可能会用到

我们用工具去检测是否存在该漏洞可以使用crlfuzz 这是用go写的，运行时需要用到go的编译

器。

1.2 URL重定向

很多网站需要实现跳转功能，如果跳转的目标网页可以被我们控制，就存在URL重定向漏洞，对于

该漏洞，我们一般使用钓鱼来进行利用，将跳转页面指向我们的钓鱼网站，从而获取目标的账号密

码。常见的该漏洞出现一般是用户登陆界面，因为一般登陆后要进行跳转

1.3 WEB拒绝服务

Web拒绝服务（Web Denial of Service, Web DoS 或者 Distributed Denial of Service, DDoS）是

一种网络攻击形式，其目的是使网站或Web应用程序无法向合法用户提供服务。这种攻击通过耗

尽目标网站的资源，如带宽、CPU时间、内存或者数据库连接池等，导致网站响应变慢或者完全无

法访问就比如如果网站可以根据用户的输入来改变显示图片的长，宽，而且对用户的输入没有加判

断，那么当用户输入的数非常大时，服务器解析图片就会占用较多的cpu资源，从而导致网站正常

功能受到影响，即当资源生成接口或参数可以被客户端控制时，便会造成拒绝服务攻击。

网站有压缩包解压功能，当我们上传一个会无限解压的压缩包，如果网站设置的解压功能是递归解压，

那么也会造成拒绝服务攻击，占用大量磁盘和cpu资源。