![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2021-08-21T15:50:40+09:00","default:k1rou","k1rou") *HTTPヘッダインジェクション [#xd62fe70] **HTTPヘッダインジェクション とは [#f0457c08] #author("2021-11-15T03:35:38+00:00","default:k1rou","k1rou") *HTTPヘッダインジェクション とは [#f0457c08] -Webページのフォームに不正な入力データを与えることで、HTTPレスポンスに任意のヘッダフィールドやメッセージボディを追加する攻撃。 -Webページへの入力データを元にHTTPレスポンスを生成している場合に、HTTPヘッダインジェクションの脆弱性があると悪用される。 ***HTTPレスポンス分割 [#f3f91af5] **HTTPレスポンス分割 [#f3f91af5] -HTTP Response Splitting -HTTPレスポンスに改行コード(CFLF:%0d%0a)を追加する攻撃。 -改行コードが追加されるとHTTPレスポンスが分割され、複数のレスポンスが作られることになる。 **対策 [#obb01188] *対策 [#obb01188] -HTTPレスポンスヘッダを、ヘッダ出力用のAPIやライブラリを使って出力する --Webアプリケーションから直接出力しない -Webページへの入力データに改行コードが含まれていた場合は削除する。 **関連サイト [#fe782624] *関連サイト [#fe782624] -CWE-113: Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting')~ https://cwe.mitre.org/data/definitions/113.html -安全なウェブサイトの作り方 - 1.7 HTTPヘッダ・インジェクション - [[IPA]]~ https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_7.html **関連用語 [#g1560815] *関連用語 [#g1560815] -[[インジェクション]] -[[HTTP]]
