解决CRLF日志注入

CRLF 简介

CRLF的含义是回车和换行。这些元素嵌入在HTTP标头和其他软件代码中，以表示行尾（EOL）标记。当攻击者能够将CRLF序列注入HTTP流时，就会出现漏洞。通过引入这种意外的CRLF注入，攻击者能够恶意利用CRLF漏洞来操纵Web应用程序的功能。

CRLF 攻击示例

攻击者通过接口访问网站时，可以在参数中添加\r\n,然后再输入“connect failed”之类的误导性信息，如果攻击成功的话，日志中就会出现换行，在新行中出现“connect failed”，这样，就有可能导致管理员花费很多精力去解决一个不存在的错误。

CRLF注入的修复建议

CRLF注射很容易预防：

始终遵循永不信任用户输入的规则。
清理并中和所有用户提供的数据或正确编码HTTP标头中的输出，否则这些输出将对用户可见，以防止注入CRLF序列及其后果。

CRLF防御示例

例如有个post请求，localhost:8080/appPay/newOrder ，请求参数如下所示：

{
   "orderId":"89077",
   "skuId":"1",
   "order":"1istainjection\r\n order created success!"
}

我们可以考虑以下方案：

1.在对应业务代码中提前对参数进行校验，去除特殊字符串

2.添加过滤器

首先方案1的话，属于头疼医头，脚疼医脚，如果被攻击的业务比较多的话，改起来相当麻烦

方案2 的话,我们需要实现一个类继承HttpServletRequestWrapper，从而获取HttpServletRequest传过来的参数值，对其进行修改后，然后通过过滤器传递下去。

定义过滤器ParameterFilter

package com.webStudy.notes;import javax.servlet.*;
import javax.servlet.annotation.WebFilter;
import javax.servlet.http.HttpServletRequest;
import java.io.IOException;@WebFilter
public class ParameterFilter implements Filter {@Overridepublic void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {MyRequestWrapper request = new MyRequestWrapper((HttpServletRequest)servletRequest);filterChain.doFilter(request,servletResponse);}
}

实现自己的MyRequestWrapper （常用的手段）

package com.webStudy.notes;import javax.servlet.ReadListener;
import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletRequestWrapper;
import java.io.*;
import java.nio.charset.StandardCharsets;
import java.util.regex.Matcher;
import java.util.regex.Pattern;public class MyRequestWrapper extends HttpServletRequestWrapper {private  static  String  REGEX ="[\\r,\\n]";private static Pattern pattern = Pattern.compile(REGEX);private final String body;public MyRequestWrapper(HttpServletRequest request) throws IOException {super(request);StringBuilder sb = new StringBuilder();InputStream ins = request.getInputStream();BufferedReader isr = null;try{if(ins != null){isr = new BufferedReader(new InputStreamReader(ins));char[] charBuffer = new char[128];int readCount = 0;while((readCount = isr.read(charBuffer)) != -1){sb.append(charBuffer,0,readCount);}}else{sb.append("");}}catch (IOException e){throw e;}finally {if(isr != null) {isr.close();}}body = changeBodyStr(sb.toString());}//某些情况下，可能出现\r\n被转义，也就是参数中表示为\\r,\\n,这种情况需要直接替换字符串"\\r","\\n"，可以自行实现private String changeBodyStr(String bodyString){Matcher matcher = pattern.matcher(bodyString);return matcher.replaceAll("").trim();}@Overridepublic BufferedReader getReader() throws IOException {return new BufferedReader(new InputStreamReader(this.getInputStream()));}//从流中读取一次Body信息后，流就被关闭了，所以需要重写一个方法来返回新的ServletInputStream@Overridepublic ServletInputStream getInputStream() throws IOException {final ByteArrayInputStream byteArrayIns = new ByteArrayInputStream(body.getBytes(StandardCharsets.UTF_8));return  new ServletInputStream() {@Overridepublic boolean isFinished() {return false;}@Overridepublic boolean isReady() {return false;}@Overridepublic void setReadListener(ReadListener readListener) {}@Overridepublic int read() throws IOException {return byteArrayIns.read();}};}
}

除了以上两种，还可以考虑通过AOP，拦截所有controller，再修改body，也许通过@initBinder也可以做一些操作（未验证）

还有个思路是直接不让日志中打印"\r\n"，比如logback中的Layout组件，其作用为：

对LoggingEvent进行格式化，返回一个String，然后通过OutputStream.write()方法，把格式化之后的日志信息写到目的地。

logback配置，参考方案2 的思路，我们也可以通过extends PatternLayout的方式写个自己的PatternLayout，来对日志信息做处理，然后输出到目的地。

<encoder class="ch.qos.logback.core.encoder.LayoutWrappingEncoder"><layout class="自定义layout类" />
</encoder>

以上是我个人对CRLF日志注入的一个总结，希望能对大家有所帮助。

参考文章：

https://www.jianshu.com/p/47de9e15b2b7

https://blog.csdn.net/zxygww/article/details/47045055

https://www.jianshu.com/p/a0eb78b8c775?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation