Vulnerabilidade ataque de injeção CRLF

[Marcelo Oliveira]

Gelera,

Boa tarde, sou novo aqui na comunidade, já pesquisei em muitos lugares e ainda não consegui pensar em como resolver.

Tenho um sistema java web baseado no Vraptor 3, e recentemente um dos nossos clientes reportou uma vulnerabilidade que se refere ao ataque de injeção CRLF, não sei se consigo tirar essa falha usando algum recurso do vraptor, como o interceptor, não sei.

Abaixo o relatório enviado para nós, quem poder me dar uma luz.

Descrição: 

Os cabeçalhos HTTP possuem uma estrutura do tipo “Key:Value”, na qual cada linha é separada por uma combinação CRLF (quebra de linha). Caso ocorra a rejeição de alguma entrada feita pelo usuário, sem que o comando CRLF seja removido, a aplicação torna-se vulnerável a modificações na estrutura do cabeçalho HTTP. O atacante pode enviar uma única requisição HTTP forçando o servidor web a enviar duas respostas distintas ao invés de uma única por requisição, isso torna a aplicação suscetível a ataques de XSS (cross-site scripting) ou de roubo de informações. 

Recomendação: 

Recomenda-se restringir a entrada dos comandos CR(0x13) e LR(0x10) vindas por requisições HTTP ou codificar a resposta, a fim de prevenir a injeção de cabeçalhos HTTP. 

Referências: 

Acunetix: http://www.acunetix.com/websitesecurity/crlf-injection/ 

Packet Storm: https://packetstormsecurity.com/papers/general/whitepaper_httpresponse.pdf 

Security Team: http://www.securiteam.com/securityreviews/5WP0E2KFGK.html

Obrigado.