Shutterstock 1188038749 %281%29

Qué es el ataque CRLF


Descripción

 

El término CRLF se refiere al retorno de carro (ASCII 13, \r) de un avance de línea (ASCII 10, \n). Normalmente estamos acostumbrados a notar la terminación de una línea, sin embargo, se trata de manera diferente en los populares sistemas operativos actuales. Por ejemplo: en Windows, se requieren tanto CR como LF para anotar el final de una línea, mientras que en Linux / UNIX solo se requiere un LF. En el protocolo HTTP, la secuencia CR-LF siempre se usa para terminar una línea.

 

Un ataque de inyección CRLF ocurre cuando un usuario logra enviar un CRLF a una aplicación. Esto se hace más comúnmente modificando un parámetro HTTP o URL.

 

Factores de riesgo

 

TBD

Ejemplos

 

Dependiendo de cómo se desarrolle la aplicación, esto puede ser un problema menor o una falla de seguridad bastante grave. Veamos esto último porque, después de todo, se trata de una publicación relacionada con la seguridad.

 

Supongamos que se utiliza un archivo en algún momento para leer / escribir datos en un registro de algún tipo. Si un atacante logró colocar un CRLF, entonces puede inyectar algún tipo de método programático de lectura en el archivo. Esto podría provocar que los contenidos se escriban en la pantalla en el próximo intento de usar este archivo.

 

Otro ejemplo son los ataques de "división de respuesta", donde los CRLF se inyectan en una aplicación y se incluyen en la respuesta. Los CRLF adicionales son interpretados por servidores proxy, cachés y quizás navegadores como el final de un paquete, causando caos.

 

Ataques conocidos

 

 

Vulnerabilidades relacionadas

 

 

Controles relacionados

 

Impactos técnicos relacionados

 

 

Referencias

 

TBD

[[Categoría: FIXME | agregar enlaces Además, uno debería clasificar la vulnerabilidad en función de las siguientes subcategorías: Ej: [[Categoría: Error_Handling_Vulnerability | Categoría: Vulnerabilidad de manejo de errores]]

 

Disponibilidad Vulnerabilidad Autorización Vulnerabilidad Autenticación Vulnerabilidad Concurrencia Vulnerabilidad Vulnerabilidad de configuración Vulnerabilidad criptográfica Vulnerabilidad de codificación Vulnerabilidad Manejo de errores Vulnerabilidad Entrada de validación Vulnerabilidad Registro y auditoría Vulnerabilidad Vulnerabilidad de gestión de sesión]]

 

Category:OWASP ASDR Project Category:Vulnerability Category:Implementation



Artículos que te pueden interesar

Qué es el Owasp A1 - Inyección

La inyección de código es la explotación de un error de la computadora causado por el procesamiento de datos no válidos. El atacante usa la inyección para introducir (o "inyectar") código en un programa informático vulnerable y cambiar el curso de ejecución. Esto puede resultar en la alteración de un comando o la extracción de una base de datos..