Descripción
El término CRLF se refiere al retorno de carro (ASCII 13, \r) de un avance de línea (ASCII 10, \n). Normalmente estamos acostumbrados a notar la terminación de una línea, sin embargo, se trata de manera diferente en los populares sistemas operativos actuales. Por ejemplo: en Windows, se requieren tanto CR como LF para anotar el final de una línea, mientras que en Linux / UNIX solo se requiere un LF. En el protocolo HTTP, la secuencia CR-LF siempre se usa para terminar una línea.
Un ataque de inyección CRLF ocurre cuando un usuario logra enviar un CRLF a una aplicación. Esto se hace más comúnmente modificando un parámetro HTTP o URL.
Factores de riesgo
TBD
Ejemplos
Dependiendo de cómo se desarrolle la aplicación, esto puede ser un problema menor o una falla de seguridad bastante grave. Veamos esto último porque, después de todo, se trata de una publicación relacionada con la seguridad.
Supongamos que se utiliza un archivo en algún momento para leer / escribir datos en un registro de algún tipo. Si un atacante logró colocar un CRLF, entonces puede inyectar algún tipo de método programático de lectura en el archivo. Esto podría provocar que los contenidos se escriban en la pantalla en el próximo intento de usar este archivo.
Otro ejemplo son los ataques de "división de respuesta", donde los CRLF se inyectan en una aplicación y se incluyen en la respuesta. Los CRLF adicionales son interpretados por servidores proxy, cachés y quizás navegadores como el final de un paquete, causando caos.
Ataques conocidos
Vulnerabilidades relacionadas
Controles relacionados
Impactos técnicos relacionados
Referencias
TBD
[[Categoría: FIXME | agregar enlaces Además, uno debería clasificar la vulnerabilidad en función de las siguientes subcategorías: Ej: [[Categoría: Error_Handling_Vulnerability | Categoría: Vulnerabilidad de manejo de errores]]
Disponibilidad Vulnerabilidad Autorización Vulnerabilidad Autenticación Vulnerabilidad Concurrencia Vulnerabilidad Vulnerabilidad de configuración Vulnerabilidad criptográfica Vulnerabilidad de codificación Vulnerabilidad Manejo de errores Vulnerabilidad Entrada de validación Vulnerabilidad Registro y auditoría Vulnerabilidad Vulnerabilidad de gestión de sesión]]
Category:OWASP ASDR Project Category:Vulnerability Category:Implementation