Posted by : Arief Hilman Nugraha Saturday, June 29, 2013

CRLF INJECTION ATTACK 
atau biasa juga di sebut sebagai HTTP response splitting
yaitu serangan web yang memanipulasi sanatization php code yg memang sengaja
di injeksi ama user.
biasanya si attacker memanfaatkan kelemahan aplikasi web untuk melakukan
berbagai macam serangan kek XSS,cross user defacement,bahkan positionin cache web klien.

MEKANISME CRLF INJECTION

CRLF (CARRIAGE RETURN and LINE FEED) menggunakan kedua karakter khusus yang mewakili
End Of Line (EOL) sebagai penanda untuk protokol internet,tapi kagak terbatas
pada MIME (e-mail,NNTP (newsgroup) dan yang lebih penting HTTP.

CONTOH SERANGAN :

misalkan kita mengelola site yang ada bug CRLF si attacker ini bakal ngirim email
ke salah satu site admin kita yang berisi link CRLF-crafted,link ini seh
Code:
http://www.surabayahackerlink.org/news.php?page =% 0D% 0aContent-Type: text / html% 0D% 0aHTTP/1.1 200% OK 0D% 0aContent-Type: text / html% 0D% 0A% 0D % 0a% 3EHACKED 3CSOMEONE%% 3E% content 3C/html

tampaknya baek-baek ajah,tapi pas kita klik dan ke--redirect
ke site kita link nya
bakal nampil kek gini :

[code]http://surabayahackerlink:2082/frontend/x3/index.html?post_login =% 0D% 0aContent-Type: text / html% 0D% 0aHTTP/1.1 200% OK 0D% 0aContent-Type: text / html% 0D% 0A% 0D % 0a% 3EHACKED 3CSOMEONE%% 3E% content 3C/html

[Image: contoh.jpg]

HACKED SOMEONE

serangan ini seh cuma munculin kata-kata pada mesin korbang
tapi bahaynya adalah bahwa server kita menghasilkan kode HTML,sehingga
si attacker bakal lebih gampan inject html code ke browser web kita
akibatnya serangan ini bisa menyebabkan poisoning of cache pada web client,cookie,XSS
entah perusakan permanen ato sementara pada halaman web kita [ hoyoh,lagi-lagi kita prustasi ]
bahkan pencurian informasi pada database!!!

balik ke link tsb,misal kita melihat yang ini :
Code:
http://www.surabayahackerlink.org/news.php?page =% 0D% 0aContent-Type: text / html% 0D% 0aHTTP/1.1 200% OK 0D% 0aContent-Type: text / html% 0D% 0A% 0D % 0a% 3EHACKED 3CSOMEONE%% 3E% content 3C/html

mungkin beberapa pars code
Quote:"event 0a% pattern% oD"
pattern ini adalah setara dengan pengiriman request http crlf dan merupakan
alasan mengapa kita sebut teknik ini sebuah CRLF injection [ tuh,kan hm kita lagi-kita lagi,lagi-lagi kita]


PENCEGAHAN :

sebenrnya seh,cara pencegahannya tuh gampang-gampang susah,gk beda kl kita ngupil pake jari
telunjuk kaki kiri Tongue cuma membersihkan URL yg mengarah ke halaman web di situs kita yang
berisi kode server return line.pentest wat cari bug ini sangat susah (menurut ane)
karena aplikasi web yang paling banyak digunakan saat ini adalah
sisi-server redirect.sehingga lokasi kerentanan ini tidak selalu jelas.
[*tapi jangan salah buktinya forum ane yg ane pentest juga kena bug ini :( ]
serangan dan vulnerabilitas laennya,bisa digunakan memeriksa kekuatan password
pada halaman otentikasi dan secara otomatis audit shopping cart,form,dynamic content dan
applikasi web laennya.

PATCH :
walopun serem,tapi patchnya kagak sesulit ngupil
pake jari telunjuk kaki kiri,VULNERABILITAS CRLF sangat mudah untuk patch.
Contoh kode berikut mengasumsikan input yang setting ke
$['input']_POST
Code:
if (eregi('n',['input']$_POST)); // ini memeriksa untuk karakter baris baru pada variabel POST
{// Start if ..
die ("CRLF Attack Terdeteksi"); // program keluar jika CRLF ditemukan dalam variabel
} // End if ..

ane dapetin bug ini karena pake w3af.
credit schumbag devilzc0de

Leave a Reply

Subscribe to Posts | Subscribe to Comments

Welcome to My Blog

Berlangganan Lewat Email

Subscribe via Email

Translate

Lagu

- Copyright © Arief Hilman Nugraha - Robotic Notes - Disponsori Oleh Blogger - Editing by Arief Hilman Nugraha -