PHP漏洞HTTP响应拆分分析与解决办法

首先我们分析 360 提供的漏洞页面地址"/?r=XXXXX"马上就可以发现问题，? 号码后面是 r=XXXX 这个 r= 就是问题的所在了，在 PHP 当中这个 GET 形式的请求（在链接中直接表现出来的请求）一般都要过滤一些文字防止被入侵，而这个就没有做这个操作，那么我们找到了入口，就开始查看代码吧，在全站中的所有文件中查找 $_GET['r'],如果你知道你的站点是哪个文件出现问题也可以直接去搜索这个文件，单引号中的 r 代表的是链接中 ?r= 中的 r，可以根据自己的要求修改。

马上就发现了问题：

$redirect = $_GET['r'];

图片中的代码把 $_GET['r'] 直接给了 $redirect 变量，简单的说现在 $redirect 就是 $_GET['r'] 了，一般情况下都是要这样写的，当然，变量的名称可能会有变，既然找到了问题出处，那么我们就只用过滤这个变量的内容就好啦。

PHP

 $redirect = trim(str_replace("r","",str_replace("rn","",strip_tags(str_replace("'","",str_replace("n", "", str_replace(" ","",str_replace("t","",trim($redirect))))),""))));

直接复制上面的所有代码到 $redirect = $_GET['r'];

下面就好啦，现在再次检查网站就不会出现这个问题了，希望大家看得懂，变量名称可以根据自己的需要更换哦

HTTP响应拆分攻击

HTTP响应拆分是由于攻击者经过精心设计利用电子邮件或者链接，让目标用户利用一个请求产生两个响应，前一个响应是服务器的响应，而后一个则是攻击者设计的响应。此攻击之所以会发生，是因为WEB程序将使用者的数据置于HTTP响应表头中，这些使用者的数据是有攻击者精心设计的。

可能遭受HTTP请求响应拆分的函数包括以下几个：

header();        setcookie();        session_id();        setrawcookie();

HTTP响应拆分通常发生在：

Location表头：将使用者的数据写入重定向的URL地址内

Set-Cookie表头：将使用者的数据写入cookies内

实例：

    header("Location: " . $_GET['page']);
?>

请求

GET /location.php?page=http://www.00aq.com HTTP/1.1?
Host: localhost?

?

返回

HTTP/1.1 302 Found
Date: Wed, 13 Jan 2010 03:44:24 GMT
Server: Apache/2.2.8 (Win32) PHP/5.2.6
X-Powered-By: PHP/5.2.6
Location: http://www.00aq.com
Content-Length: 0
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html

访问下面的链接，会直接出现一个登陆窗口

http://localhost/location.php?page=%0d%0aContent-Type:%20text/html%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-Type:%20text/html%0d%0aContent-Length:%20158%0d%0a%0d%0a>帐号%20密码%20word%20type=password%20/>

转换成可读字符串为：

Content-Type: text/html

HTTP/1.1 200 OK

Content-Type: text/html

Content-Length: 158

一个HTTP请求产生了两个响应