- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2021-08-21T15:50:40+09:00","default:k1rou","k1rou")
*HTTPヘッダインジェクション [#xd62fe70]
**HTTPヘッダインジェクション とは [#f0457c08]
#author("2021-11-15T03:35:38+00:00","default:k1rou","k1rou")
*HTTPヘッダインジェクション とは [#f0457c08]
-Webページのフォームに不正な入力データを与えることで、HTTPレスポンスに任意のヘッダフィールドやメッセージボディを追加する攻撃。
-Webページへの入力データを元にHTTPレスポンスを生成している場合に、HTTPヘッダインジェクションの脆弱性があると悪用される。
***HTTPレスポンス分割 [#f3f91af5]
**HTTPレスポンス分割 [#f3f91af5]
-HTTP Response Splitting
-HTTPレスポンスに改行コード(CFLF:%0d%0a)を追加する攻撃。
-改行コードが追加されるとHTTPレスポンスが分割され、複数のレスポンスが作られることになる。
**対策 [#obb01188]
*対策 [#obb01188]
-HTTPレスポンスヘッダを、ヘッダ出力用のAPIやライブラリを使って出力する
--Webアプリケーションから直接出力しない
-Webページへの入力データに改行コードが含まれていた場合は削除する。
**関連サイト [#fe782624]
*関連サイト [#fe782624]
-CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')~
https://cwe.mitre.org/data/definitions/113.html
-安全なウェブサイトの作り方 - 1.7 HTTPヘッダ・インジェクション - [[IPA]]~
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_7.html
**関連用語 [#g1560815]
*関連用語 [#g1560815]
-[[インジェクション]]
-[[HTTP]]
バックアップ