두 번째 취약점인 Http Splitting입니다.
이 공격의 핵심은 CR/LF 즉, 줄바꿈 문자열입니다.
CR(Carriage Return)은 %0d로 커서의 위치를 Line가장 앞으로 이동하는 문자열입니다.
LF(Line Feed)는 %0a로 커서의 위치를 다음으로 이동하는 문자열입니다.
이 문자열들은 URI인코딩 된 문자열로서, Http패킷내에 포함될 경우 줄 바꿈이 가능합니다.
Dos/Window계열에서는 %0d%0a
Unix/Linux계열에서는 %0a
로 사용방법이 상이합니다.
제 실습환경은 Window이므로 CR/LF기호를 모두 사용하였습니다.