CRLFuzz: автоматическое обнаружение CRLF-уязвимостей
❓ Что такое CRLF-инъекция?
CRLF-инъекция возникает, когда злоумышленник внедряет в HTTP-заголовки символы
- Добавлять вредоносные заголовки (`X-Forwarded-Host`,
- Разделять ответ сервера и внедрять произвольный контент
- Проводить атаки, такие как: HTTP Response Splitting или Session Fixation
🔎 Пример уязвимого URL:
Если сервер некорректно обрабатывает ввод, в ответе может появиться заголовок:
✅ CRLFuzz — это инструмент на Go, который автоматически проверяет сайты на уязвимости CRLF. Преимущества:
⁃ Работает из командной строки
⁃ Проверяет множество URL за секунды
⁃ Поддерживает кастомные payloads и прокси
⁃ Можно интегрировать в CI/CD или скрипты
🔄 Установка
Проверка
🎥 Базовый пример
Если уязвимость есть, CRLFuzz покажет успешную инъекцию
🎥 Проверка списка URL
Где:
-
-
🎥 Использование прокси (Burp, ZAP)
🔒 Практический пример
Допустим, мы тестируем сайт
Если сервер уязвим, вывод может быть таким:
📌 Защита от CRLF-инъекций
- Кодируйте пользовательский ввод перед вставкой в заголовки
- Используйте безопасные API (например,
- Валидируйте входные данные на наличие
- Проводите регулярные тесты с CRLFuzz
В мире веб-безопасности CRLF-инъекции (Carriage Return Line Feed) остаются одной из опасных, но часто упускаемых из виду уязвимостей. Они могут привести к межсайтовой подделке запросов (XSS), отравлению кеша и HTTP-спуфингу.
CRLF-инъекция возникает, когда злоумышленник внедряет в HTTP-заголовки символы
\r\n (CRLF), что позволяет: - Добавлять вредоносные заголовки (`X-Forwarded-Host`,
Location и др.)- Разделять ответ сервера и внедрять произвольный контент
- Проводить атаки, такие как: HTTP Response Splitting или Session Fixation
http://example.com/search?q=test%0d%0aSet-Cookie:malicious=payloadЕсли сервер некорректно обрабатывает ввод, в ответе может появиться заголовок:
HTTP/1.1 200 OK
Set-Cookie: malicious=payload
⁃ Работает из командной строки
⁃ Проверяет множество URL за секунды
⁃ Поддерживает кастомные payloads и прокси
⁃ Можно интегрировать в CI/CD или скрипты
sudo apt install crlfuzz
Проверка
crlfuzz -h
crlfuzz -u "https://example.com/search?q=test"
Если уязвимость есть, CRLFuzz покажет успешную инъекцию
crlfuzz -l targets.txt -o vulnerable.txt
Где:
-
targets.txt — файл с URL-
vulnerable.txt — файл с результатамиcrlfuzz -u "https://example.com" -x http://127.0.0.1:8080
Допустим, мы тестируем сайт
https://vulnerable.site: crlfuzz -u "https://vulnerable.site/search?query=fuzz"
Если сервер уязвим, вывод может быть таким:
[VULN] https://vulnerable.site/search?query=%0d%0aX-Injected:Header
- Кодируйте пользовательский ввод перед вставкой в заголовки
- Используйте безопасные API (например,
encodeURIComponent в JS)- Валидируйте входные данные на наличие
\r\n- Проводите регулярные тесты с CRLFuzz
Please open Telegram to view this post
VIEW IN TELEGRAM
❤9👍5🔥3
XSS - В С Ё
📌 В кратце
На этой неделе власти предприняли серьезные меры против подпольного киберпреступного сообщества. После многолетнего расследования подозреваемый администратор XSS.is, одного из самых активных русскоязычных хакерских форумов, был арестован в Украине. Домен форума был конфискован, а его некогда процветающий черный рынок был ликвидирован.
1️⃣ Что такое XSS?
XSS.is был одним из самых активных русскоязычных форумов по киберпреступности. Он служил рынком для продажи похищенных данных, вредоносного ПО, доступа к взломанным системам и услуг по созданию программ-вымогателей. На нем было зарегистрировано более 50 000 пользователей, и он просуществовал более десяти лет. Многие известные злоумышленники использовали этот форум для рекламы, вербовки и общения.
2️⃣ Что произошло?
22 июля 2025 года власти арестовали подозреваемого администратора XSS.is в Киеве, Украина. Это стало результатом четырехлетнего расследования, проводимого французской полицией и прокуратурой Парижа в тесном сотрудничестве с украинскими правоохранительными органами и Европолом.
Подозреваемый также, как утверждается, управлял сервисом безопасного обмена сообщениями под названием thesecure.biz, который позволял киберпреступникам общаться анонимно.
3️⃣ Был ли этот форум важным?
XSS.is был не просто очередным форумом в даркнете, а одним из основных игроков в русскоязычном мире киберпреступности. Первоначально запущенный под названием DaMaGeLaB, он был переименован в XSS и превратился в надежную платформу для продажи похищенных данных, вредоносных программ, эксплойтов и доступа к взломанным системам.
Он был тесно связан с другими ведущими форумами, такими как Exploit и RAMP. Фактически, репутация на XSS часто была необходима для вступления в новые форумы, такие как RAMP 2.0. XSS также играл роль в операциях с программами-вымогателями, служа инструментом для набора участников групп Ransomware-as-a-Service (RaaS), прежде чем в 2021 году такие темы были запрещены.
Благодаря зашифрованным сообщениям, услугам по разрешению споров и строгому контролю со стороны администрации, XSS обеспечивал доверие и безопасность, что позволяло ему оставаться популярным на протяжении более десяти лет. Его закрытие ослабляет ключевую часть экосистемы киберпреступности.
4️⃣ Что теперь?
Домен xss.is теперь отображает уведомление о конфискации. Однако часть инфраструктуры по-прежнему активна. Версия форума .onion доступна, хотя доступ к ней, похоже, ограничен. Резервный домен xss.as и сервер Jabber на thesecure.biz также остаются в сети. Эти сервисы по-прежнему могут обеспечивать связь между пользователями, которые не покинули платформу.
На этой неделе власти предприняли серьезные меры против подпольного киберпреступного сообщества. После многолетнего расследования подозреваемый администратор XSS.is, одного из самых активных русскоязычных хакерских форумов, был арестован в Украине. Домен форума был конфискован, а его некогда процветающий черный рынок был ликвидирован.
XSS.is был одним из самых активных русскоязычных форумов по киберпреступности. Он служил рынком для продажи похищенных данных, вредоносного ПО, доступа к взломанным системам и услуг по созданию программ-вымогателей. На нем было зарегистрировано более 50 000 пользователей, и он просуществовал более десяти лет. Многие известные злоумышленники использовали этот форум для рекламы, вербовки и общения.
22 июля 2025 года власти арестовали подозреваемого администратора XSS.is в Киеве, Украина. Это стало результатом четырехлетнего расследования, проводимого французской полицией и прокуратурой Парижа в тесном сотрудничестве с украинскими правоохранительными органами и Европолом.
Подозреваемый также, как утверждается, управлял сервисом безопасного обмена сообщениями под названием thesecure.biz, который позволял киберпреступникам общаться анонимно.
XSS.is был не просто очередным форумом в даркнете, а одним из основных игроков в русскоязычном мире киберпреступности. Первоначально запущенный под названием DaMaGeLaB, он был переименован в XSS и превратился в надежную платформу для продажи похищенных данных, вредоносных программ, эксплойтов и доступа к взломанным системам.
Он был тесно связан с другими ведущими форумами, такими как Exploit и RAMP. Фактически, репутация на XSS часто была необходима для вступления в новые форумы, такие как RAMP 2.0. XSS также играл роль в операциях с программами-вымогателями, служа инструментом для набора участников групп Ransomware-as-a-Service (RaaS), прежде чем в 2021 году такие темы были запрещены.
Благодаря зашифрованным сообщениям, услугам по разрешению споров и строгому контролю со стороны администрации, XSS обеспечивал доверие и безопасность, что позволяло ему оставаться популярным на протяжении более десяти лет. Его закрытие ослабляет ключевую часть экосистемы киберпреступности.
Домен xss.is теперь отображает уведомление о конфискации. Однако часть инфраструктуры по-прежнему активна. Версия форума .onion доступна, хотя доступ к ней, похоже, ограничен. Резервный домен xss.as и сервер Jabber на thesecure.biz также остаются в сети. Эти сервисы по-прежнему могут обеспечивать связь между пользователями, которые не покинули платформу.
Please open Telegram to view this post
VIEW IN TELEGRAM
2❤21👎10🔥9👍5💔1
🚩 Новые задания на платформе HackerLab!
🔎 Категория OSINT — Без пациентов
🌍 Категория Веб — Ещё один калькулятор
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
🟠 Реверс-инжиниринг - доп доп ес
🟠 Форензика - Чувак, где мой флаг?
Приятного хакинга!
——————————————
🗂 В архив добавлены задания с прошлых соревнований + райтапы:
Приятного хакинга!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤6🔥6