División de respuestas HTTP
¿Qué es División de respuestas HTTP?
División de respuestas HTTPVulnerabilidad de inyección donde caracteres CR/LF en la entrada del usuario obligan al servidor a emitir respuestas HTTP adicionales controladas por el atacante.
La división de respuestas HTTP (inyección CRLF) ocurre cuando una aplicación refleja la entrada del usuario en cabeceras de respuesta —Location, Set-Cookie o cabeceras personalizadas— sin filtrar retornos de carro y saltos de línea. Inyectando %0d%0a, el atacante termina el bloque original de cabeceras e introduce cabeceras, líneas de estado o incluso una segunda respuesta completa. Las consecuencias incluyen envenenamiento de caché, XSS, fijación de sesión y exposición de credenciales en intermediarios. CWE-113 y CVE-2004-0500 mostraron el impacto. Mitigaciones: rechazar o escapar CR/LF en valores de cabecera, usar frameworks que prohíban saltos de línea en APIs de cabecera y preferir helpers de redirección que codifiquen sus entradas.
● Ejemplos
- 01
Definir una cabecera Location desde un parámetro de usuario con %0d%0a para inyectar Set-Cookie.
- 02
Partir una respuesta para que la caché almacene un cuerpo controlado por el atacante para /home.
● Preguntas frecuentes
¿Qué es División de respuestas HTTP?
Vulnerabilidad de inyección donde caracteres CR/LF en la entrada del usuario obligan al servidor a emitir respuestas HTTP adicionales controladas por el atacante. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa División de respuestas HTTP?
Vulnerabilidad de inyección donde caracteres CR/LF en la entrada del usuario obligan al servidor a emitir respuestas HTTP adicionales controladas por el atacante.
¿Cómo defenderse de División de respuestas HTTP?
Las defensas contra División de respuestas HTTP combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para División de respuestas HTTP?
Nombres alternativos comunes: Inyección CRLF en HTTP, Inyección de cabeceras HTTP.