>Так как классический CRLF Injection не предназначен для прямой >атаки на посетителей, а HTTP Response Splitting используется для >разных атак на клиентов, в частности XSS атак (и поэтому имеет тот >же уровень опасности).

Упомянутый тип опаснее все же, т.к. позволяет помимо всего еще и осуществлять модификацию данных кэша сервера-посредника.

И все же не понял в чем принципиальное различие типов атак. Исключительно применительно к вебу (как правило их применимо к вебу используют как синонимы фактически)… Как можно в чистом виде в этом типе атаки целью может быть сервер? Не очень понял…

Уязвимостей на ваших сайтах хватает . Разных уязвимостей. В данном случае я написал о тех уязвимостях, которые обнаружил в одном вашем скрипте в июле прошлого года. Замечу, что этот же скрипт, помимо XSS, уязвим также к CSRF и Insufficient Anti-automation (так что дыр на Рамблере хватает).

Уязвимости CRLF Injection и HTTP Response Splitting (которые достаточно распространены в Сети) являются двумя разными уязвимостями двух классов, для атаки на серверы и на клиентов соответственно, со схожим механизмом атаки. И они не являются более серьёзными чем Cross-Site Scripting. Так как классический CRLF Injection не предназначен для прямой атаки на посетителей, а HTTP Response Splitting используется для разных атак на клиентов, в частности XSS атак (и поэтому имеет тот же уровень опасности).