安全漏洞的复现与总结(8)

1.是配置中的$url是我们可以控制的,这样我们就可以在$url处填入CRLF,然后对服务器进行访问实现头部注入。2.服务器会返回一个302跳转给用户,所以我们注入的头部参数又会返回到客户这边。

漏洞复现

修改完上面nginx.conf配置后，重启nginx；
（换行和回车的URL编码分别是 ）
抓包，可以看到将6666通过set-cookie返回；

CRLF XSS配合：

不过这里浏览器并没有弹窗，那是因为浏览器filter对xss特征进行了过滤，这里用低版本浏览器才可以弹出来。

修复方法

删除配置不当的配置。

文件名逻辑漏洞(CVE-2013-4547)

漏洞原理

当请求如下URI时：/test[0x20]/…/admin/index.php，这个URI不会匹配上location后面的/admin/，也就绕过了其中的IP验证；但最后请求的是/test[0x20]/…/admin/index.php文件，也就是/admin/index.php，成功访问到后台。（这个前提是需要有一个目录叫test：这是Linux系统的特点，如果有一个不存在的目录，则即使跳转到上一层，也会爆文件不存在的错误，Windows下没有这个限制）。