PHP漏洞全解(八)-HTTP響應拆分

作者：DoDo 2012-04-12 15:59:09

系統 Linux

本文主要介紹針對PHP網站HTTP響應拆分，站在攻擊者的角度，為你演示HTTP響應拆分。

HTTP請求的格式

1）請求信息：例如“Get /index.php HTTP/1.1”，請求index.php文件

2）表頭：例如“Host: localhost”，表示服務器地址

3）空白行

4）信息正文

“請求信息”和“表頭”都必須使用換行字符（CRLF）來結尾，空白行只能包含換行符，不可以有其他空格符。

下面例子發送HTTP請求給服務器www.yhsafe.com

GET /index.php HTTP/1.1↙ //請求信息

Host:www.yhsafe.com↙ //表頭

↙ //空格行

↙

↙符號表示回車鍵，在空白行之后還要在按一個空格才會發送HTTP請求，HTTP請求的表頭中只有Host表頭是必要的餓，其余的HTTP表頭則是根據HTTP請求的內容而定。

HTTP請求的方法

1）GET：請求響應

2）HEAD：與GET相同的響應，只要求響應表頭

3）POST：發送數據給服務器處理，數據包含在HTTP信息正文中

4）PUT：上傳文件

5）DELETE：刪除文件

6）TRACE：追蹤收到的請求

7）OPTIONS：返回服務器所支持的HTTP請求的方法

8）CONNECT：將HTTP請求的連接轉換成透明的TCP/IP通道

HTTP響應的格式

服務器在處理完客戶端所提出的HTTP請求后，會發送下列響應。

1）第一行是狀態碼

2）第二行開始是其他信息

狀態碼包含一個標識狀態的數字和一個描述狀態的單詞。例如：

HTTP/1.1 200 OK

200是標識狀態的是數字，OK則是描述狀態的單詞，這個狀態碼標識請求成功。

HTTP請求和響應的例子

打開cmd輸入telnet，輸入open www.00aq.com 80

打開連接后輸入

GET /index.php HTTP/1.1↙

Host:www.00aq.com↙

↙

返回HTTP響應的表頭

返回的首頁內容

使用PHP來發送HTTP請求

header函數可以用來發送HTTP請求和響應的表頭

函數原型

void header(string string [, bool replace [, int http_response_code]])

string是HTTP表頭的字符串

如果replace為TRUE，表示要用目前的表頭替換之前相似的表頭；如果replace為FALSE，表示要使用多個相似的表頭，默認值為TRUE

http_response_code用來強制HTTP響應碼使用http_response_code的值

實例：


// 打開Internet socket連接 
$fp = fsockopen(www.00aq.com, 80); 
// 寫入HTTP請求表頭 
fputs($fp, "GET / HTTP/1.1\r\n"); 
fputs($fp, "Host: www.00aq.com\r\n\r\n"); 
// HTTP響應的字符串 
$http_response = ""; 
while (!feof($fp)) 
{ 
// 讀取256位的HTTP響應字符串 
$http_response .= fgets($fp, ); 
} 
// 關閉Internet socket連接 
fclose($fp); 
// 顯示HTTP響應信息 
echo nl2br(htmlentities($http_response)); 
?>

HTTP響應拆分攻擊

HTTP響應拆分是由于攻擊者經過精心設計利用電子郵件或者鏈接，讓目標用戶利用一個請求產生兩個響應，前一個響應是服務器的響應，而后一個則是攻擊者設計的響應。此攻擊之所以會發生，是因為WEB程序將使用者的數據置于HTTP響應表頭中，這些使用者的數據是有攻擊者精心設計的。

可能遭受HTTP請求響應拆分的函數包括以下幾個：

header(); setcookie(); session_id(); setrawcookie();

HTTP響應拆分通常發生在：

Location表頭：將使用者的數據寫入重定向的URL地址內

Set-Cookie表頭：將使用者的數據寫入cookies內

實例：


    header("Location: " . $_GET['page']); 
?>

請求

GET /location.php?page=http://www.00aq.com HTTP/1.1↙

Host: localhost↙

↙

HTTP/1.1 302 Found

Date: Wed, 13 Jan 2010 03:44:24 GMT

Server: Apache/2.2.8 (Win32) PHP/5.2.6

X-Powered-By: PHP/5.2.6

Location: http://www.00aq.com

Content-Length: 0

Keep-Alive: timeout=5, max=100

Connection: Keep-Alive

Content-Type: text/html

訪問下面的鏈接，會直接出現一個登陸窗口

http://localhost/location.php?page=%0d%0aContent-Type:%20text/html%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%20158%0d%0a%0d%0a帳號%20密碼%20

轉換成可讀字符串為：

Content-Type: text/html

HTTP/1.1 200 OK

Content-Type: text/html

Content-Length: 158

一個HTTP請求產生了兩個響應

防范的方法：

1）替換CRLF換行字符


    header("Location: " . strtr($_GET['page'], array("\r"=>"",    "\n"=>""))); 
?>

2）使用最新版本的PHP

PHP最新版中，已經不允許在HTTP表頭內出現換行字符

隱藏HTTP響應表頭

apache中httpd.conf，選項ServerTokens = Prod, ServerSignature = Off

php中php.ini，選項expose_php = Off

責任編輯：xikder 來源： DoDo's Blog

php 安全漏洞 HTTP響應

成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

PHP漏洞全解(八)-HTTP響應拆分