关于“HTTP Response Splitting”（算是一点不同意见？）

摘自：心路

我也说一下“HTTP Response Splitting”问题。开门见山，我不认为“HTTP Response Splitting”是一种新WEB应用漏洞的攻击手法，而是把它归类为一个古老的系统漏洞。

      前几天看到刺的博客提到这个，这次支付宝的web安全研讨会也讲到这个问题，大家都把这个当作是WEB程序中的漏洞，因为表现出来的攻击方式主要是跨站。不过我的看法是，一个漏洞是属于类型的不是看攻击方式，而是看产生的原理。

      这个漏洞的原因在于提交包含“ ”的数据的时候，WEB服务器没有做过滤而直接返回，导致攻击者可以设置一些特殊的头，或者修改HTTP Response的内容。" "在HTTP的RFC中被规定为分隔符，也就是说WEB服务器没有过滤用户的输入，允许用户直接输入协议中规定的特殊含义的字段。很显然，错误在WEB服务器本身，而与写上层应用系统的语言无关，更与应用系统无关。举个一个简单的例子，生成RSS的时候肯定要编码掉<item>,<RSS>之类的输入，生成XML文件肯定要过滤掉<>之类的字符。任何程序，在获取输入的时候，肯定是不能允许输入并使用协议中定义好有特殊意义的字符的。

      其次，看到这个漏洞我就想起2004年或者更早的时候，那时候很多WEB服务器，包括Tomcat之类的WEB容器有提起过这类的漏洞，不过后来被修补了就没什么动静了。我下午测试了Apache/2.2.11 + PHP 5.2.8，发现不存在此漏洞。也许是Apache修复了这个漏洞，也许是PHP修复了这个漏洞，这个事情应该是由Apache来做，不过我没找到相关说明。我的看法是可能某些服务器的WEB服务器或者Java之类的应用容器没有升级，是比较低的存在漏洞的版本，让这个漏洞再次重现人间。期待cnqing晚上回去测试tomcat的jsp，我没环境，也懒得搭建，就不测试了。

      简单的说，我的看法是这个不算是WEB应用系统的编码漏洞，更不是新出现的攻击方法，因为这个事情确实不是WEB程序应该负责的。最简单最彻底的修复办法，就是升级WEB服务器，或者Java容器。如果有谁能够找到Apache或者PHP的补丁修补了这个漏洞，或者其它意见，欢迎告诉我。