HTTPヘッダインジェクション
2021-11-15 (月) 12:35:38
HTTPヘッダインジェクション とは †
- Webページのフォームに不正な入力データを与えることで、HTTPレスポンスに任意のヘッダフィールドやメッセージボディを追加する攻撃。
- Webページへの入力データを元にHTTPレスポンスを生成している場合に、HTTPヘッダインジェクションの脆弱性があると悪用される。
HTTPレスポンス分割 †
- HTTP Response Splitting
- HTTPレスポンスに改行コード(CFLF:%0d%0a)を追加する攻撃。
- 改行コードが追加されるとHTTPレスポンスが分割され、複数のレスポンスが作られることになる。
対策 †
- HTTPレスポンスヘッダを、ヘッダ出力用のAPIやライブラリを使って出力する
- Webアプリケーションから直接出力しない
- Webページへの入力データに改行コードが含まれていた場合は削除する。
関連サイト †
- CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')
https://cwe.mitre.org/data/definitions/113.html
- 安全なウェブサイトの作り方 - 1.7 HTTPヘッダ・インジェクション - IPA
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_7.html