Gelera,
Boa tarde, sou novo aqui na comunidade, já pesquisei em muitos lugares e ainda não consegui pensar em como resolver.
Tenho um sistema java web baseado no Vraptor 3, e recentemente um dos nossos clientes reportou uma vulnerabilidade que se refere ao ataque de injeção CRLF, não sei se consigo tirar essa falha usando algum recurso do vraptor, como o interceptor, não sei.
Abaixo o relatório enviado para nós, quem poder me dar uma luz.
Descrição:
Os cabeçalhos HTTP possuem uma estrutura do tipo “Key:Value”, na qual cada linha é separada por uma
combinação CRLF (quebra de linha). Caso ocorra a rejeição de alguma entrada feita pelo usuário, sem que o
comando CRLF seja removido, a aplicação torna-se vulnerável a modificações na estrutura do cabeçalho
HTTP. O atacante pode enviar uma única requisição HTTP forçando o servidor web a enviar duas respostas
distintas ao invés de uma única por requisição, isso torna a aplicação suscetível a ataques de XSS (cross-site
scripting) ou de roubo de informações.
Recomendação:
Recomenda-se restringir a entrada dos comandos CR(0x13) e LR(0x10) vindas por requisições HTTP ou
codificar a resposta, a fim de prevenir a injeção de cabeçalhos HTTP.
Referências:
Obrigado.