HTML头部注入漏洞是攻击者通过操纵用户输入,在HTTP响应头或HTML的标签中注入恶意内容,导致XSS、重定向、Cookie篡改等危害,其本质是用户输入被错误当作指令执行。该漏洞主要存在于参数反射、自定义Header、错误页面等场景,挖掘时需结合Burp等工具测试CRLF注入(如%0d%0aSet-Cookie)和HTML注入(如),并绕过过滤、编码、WAF等限制。需区分HTTP头部注入(协议层,操纵响应头)与HTML头部注入(解析层,注入内容),前者可导致后者,但二者技术层面不同。防御核心为不信任用户输入,采取白名单验证、上下文敏感编码、安全模板引擎、CSP策略、HttpOnly/Secure Cookie及定期审计,实现多层防护。
HTML头部注入漏洞,说白了,就是攻击者通过操纵用户输入,让服务器在响应的HTTP头部或者最终渲染的HTML页面的标签中,输出一些不该出现的内容。这东西的危害可不小,它能让你原本安全的页面变得危机四伏,从简单的信息篡改到复杂的客户端脚本执行,都有可能。本质上,这是信任边界被模糊,用户输入被错误地当成了服务器或浏览器指令的结果。
解决方案
挖掘HTML头部注入漏洞,首先要理解它的“藏身之处”。它通常发生在应用程序将用户输入直接或间接嵌入到HTTP响应头(如Location, Set-Cookie, X-Frame-Options等)或HTML文档的部分(如, , 标签)时,且没有进行充分的验证或编码。
挖掘思路:
-
参数追踪与反射点识别:
立即学习“前端免费学习笔记(深入)”;
-
HTTP请求参数: 仔细检查URL查询字符串、POST请求体中的所有参数。尝试修改这些参数的值,观察它们是否在HTTP响应头或HTML的
区域中原样返回。 -
自定义Header: 有些应用会根据请求中的自定义HTTP头(如
X-Forwarded-For)来生成响应头或HTML内容,这也是一个潜在的注入点。 - 错误信息: 应用程序在处理异常或错误时,有时会将用户输入错误地反射到响应中,包括头部。
-
工具辅助: 使用Burp Suite、OWASP ZAP等代理工具,拦截请求并逐一修改参数值,同时观察响应的HTTP头部和HTML源码(特别是
部分)。
-
HTTP请求参数: 仔细检查URL查询字符串、POST请求体中的所有参数。尝试修改这些参数的值,观察它们是否在HTTP响应头或HTML的
-
注入测试与Payload构造:
-
HTTP头部注入 (CRLF Injection):
- 核心是利用回车换行符(CRLF,即
%0d%0a或\r\n)来“截断”当前的HTTP头,从而注入新的HTTP头。 -
Payload示例:
- 在参数值中加入
%0d%0aSet-Cookie: injected_cookie=malicious_value,尝试注入新的Cookie。 -
%0d%0aLocation: javascript:alert(1)(在某些旧浏览器或特定配置下可能导致XSS,更常见的是重定向到恶意站点)。 -
%0d%0aX-XSS-Protection: 0(尝试禁用浏览器XSS保护)。 -
HTTP Response Splitting: 更高级的攻击,注入两个CRLF来结束当前响应头并开始一个新的完整HTTP响应。例如:
%0d%0a%0d%0aHTTP/1.1 200 OK%0d%0aContent-Type: text/html%0d%0aContent-Length: 25%0d%0a%0d%0a。这可能导致缓存投毒或客户端XSS。
- 在参数值中加入
- 核心是利用回车换行符(CRLF,即
-
HTML头部注入 (Direct HTML Injection):
- 当用户输入直接被插入到
标签内,且未进行HTML实体编码时,就可以注入任意HTML/JavaScript代码。 -
Payload示例:
-
XSS:
- 如果反射点在
- 如果反射点在
:">
- 如果反射点在
-
XSS:
- 当用户输入直接被插入到
-
