Estoy buscando un entorno CRLF vulnerable. Hasta ahora he probado PHP y JSP.
En PHP 5.6, header
te da una advertencia si intentas insertar una nueva línea:
<b>Warning</b>: Header may not contain more than a single header, new line detected in
En Java 1.8 + Tomcat 7.0.78, response.setHeader
reemplaza los símbolos \r\n
con espacios.
Entonces, ¿a partir de qué versión corrigieron Java y PHP la vulnerabilidad CRLF?