HTTPヘッダインジェクション†
HTTPヘッダインジェクション とは†
- Webページのフォームに不正な入力データを与えることで、HTTPレスポンスに任意のヘッダフィールドやメッセージボディを追加する攻撃。
- Webページへの入力データを元にHTTPレスポンスを生成している場合に、HTTPヘッダインジェクションの脆弱性があると悪用される。
HTTPレスポンス分割†
- HTTP Response Splitting
- HTTPレスポンスに改行コード(CFLF:%0d%0a)を追加する攻撃。
- 改行コードが追加されるとHTTPレスポンスが分割され、複数のレスポンスが作られることになる。
- HTTPレスポンスヘッダを、ヘッダ出力用のAPIやライブラリを使って出力する
- Webページへの入力データに改行コードが含まれていた場合は削除する。
関連サイト†
関連用語†
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
