https://blog.qife122.com/tags/%E5%A4%B4%E9%83%A8%E6%B3%A8%E5%85%A5/ Recent content in 头部注入 on 办公AI智能小助手 Hugo zh-cn qife Thu, 11 Sep 2025 15:43:10 +0800 https://blog.qife122.com/p/curl%E5%A4%84%E7%90%86http%E5%93%8D%E5%BA%94%E4%B8%AD-%E5%BA%8F%E5%88%97%E4%B8%8D%E5%BD%93%E5%AF%BC%E8%87%B4crlf%E6%B7%B7%E6%B7%86%E4%B8%8E%E5%A4%B4%E9%83%A8/-cookie%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Thu, 11 Sep 2025 15:43:10 +0800 https://blog.qife122.com/p/curl%E5%A4%84%E7%90%86http%E5%93%8D%E5%BA%94%E4%B8%AD-%E5%BA%8F%E5%88%97%E4%B8%8D%E5%BD%93%E5%AF%BC%E8%87%B4crlf%E6%B7%B7%E6%B7%86%E4%B8%8E%E5%A4%B4%E9%83%A8/-cookie%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="curl处理0c0b序列不当导致crlf混淆与头部-cookie注入">curl处理<code>%0c%0b</code>序列不当导致CRLF混淆与头部/ Cookie注入</h1> <h2 id="报告摘要">报告摘要</h2> <p>该报告由安全研究人员在私有资产的安全审计过程中意外发现。问题源于curl在处理HTTP响应中的<code>%0c</code>和<code>0b</code>序列时，与Burp代理、Python的requests库及其他HTTP响应查看服务的行为存在差异。具体表现为，curl将这些序列字面处理，而其他工具则将其视为无效字符。</p>