Redazione RHC : 8 Luglio 2021 06:18
Per la serie programmi hacker, oggi parleremo di CRLFuzz.
CRLFuzz, è uno strumento semplice ma efficace per analizzare la vulnerabilità CRLF, ed è scritto in Go. Un attacco di iniezione CRLF è uno tra i diversi tipi di attacchi di iniezione. Può essere utilizzato per passare ad attacchi più dannosi come il Cross-site Scripting (XSS), iniezione di pagine, avvelenamento della cache web, deface basato sulla cache e altro ancora.
Una vulnerabilità di iniezione CRLF permette ad un utente malintenzionato di inserire i caratteri CRLF in un’applicazione Web, ad esempio utilizzando un modulo di input o una richiesta HTTP.
L’abbreviazione CRLF si riferisce a Carriage Return e Line Feed. CR e LF sono caratteri speciali (ASCII 13 e 10 rispettivamente, indicati anche come \ r \ n) utilizzati per indicare la fine della riga e quindi l’End of File (EOL).
La sequenza CRLF viene utilizzata nei sistemi operativi inclusi Windows (ma non Linux / UNIX) e nei protocolli Internet incluso HTTP.
CRLFuzz per installarlo non è complesso, puoi scaricare il binario da GitHub , decomprimerlo ed eseguirlo.
$ curl -sSfL http://git.io/get-crlfuzz | sh -s — -b /usr/local/bin
Se hai installato e configurato il compilatore go1.13 + :
$ GO111MODULE=on go get -v github.com/dwisiswant0/crlfuzz/cmd/crlfuzz
Per aggiornare lo strumento, puoi usare -uflag con il comando go get. da GitHub
$ git clone https://github.com/dwisiswant0/crlfuzz$ cd crlfuzz/cmd/crlfuzz$ go build .$ mv crlfuzz /usr/local/bin
CRLFuzz può essere eseguito con:
$ crlfuzz -u “http://target”
Per vedere l’help
$ crlfuzz -h
ed ecco i comandi:
Per scansionare una singola url
$ crlfuzz -u “http://target”
Per scansionare più URL da un file di testo
$ crlfuzz -l /path/to/urls.txt
RedazioneSempre più amministrazioni avviano simulazioni di campagne di phishing per misurare la capacità dei propri dipendenti di riconoscere i messaggi sospetti. Quando queste attività coinvolgono struttur...
I criminali informatici non hanno più bisogno di convincere ChatGPT o Claude Code a scrivere malware o script per il furto di dati. Esiste già un’intera classe di modelli linguistici specializzati...
Un gruppo di membri del Parlamento europeo hanno chiesto di abbandonare l’uso interno dei prodotti Microsoft e di passare a soluzioni europee. La loro iniziativa nasce dalle crescenti preoccupazioni...
Ciao a tutti… mi chiamo Marco, ho 37 anni e lavoro come impiegato amministrativo in uno studio commerciale. È la prima volta che parlo davanti a tutti voi e sono un pò emozionato … e vi assicuro...
Il presidente degli Stati Uniti Donald Trump ha firmato un ordine esecutivo, “Launching the Genesis Mission”, che avvia un programma nazionale per l’utilizzo dell’intelligenza artificiale nell...
