情報セキュリティ講座(105) HTTPヘッダインジェクション
Webサイトにおいては、HTTPプロトコルが使用されます。クライアントがHTTPリクエストを送信し、それに対してHTTPレスポンスを返しますが、HTTPレスポンスヘッダの出力処理に脆弱性があると、悪意あるヘッダフィールドやヘッダボディを付加されるリスクがあります。
HTTPレスポンスヘッダは、改行コードで区切られます。WEBアプリケーション側で、動的にHTTPレスポンスヘッダを作成するような仕組みだと、ユーザが投入した文字列の中に改行コードを忍び込ませ、もともと一行だったHTTPレスポンスヘッダを分割し、あたかも二つのHTTPレスポンスヘッダがあるかのように操作できます。追加したHTTPレスポンスヘッダに、悪意あるスクリプトを埋め込むなどして、攻撃するわけです。
対策としては、ヘッダ出力用のAPIをアプリケーション側で準備し、改行コードがそのまま出力されないようにすること、ユーザ入力文字列に改行コードを混入できないようアプリケーション側で文字列処理をすること、などが考えられます。
投稿者プロフィール

最新の投稿
手続きコンサルティング2023.02.04行政書士賀詞交換会
読書2023.02.03老人をなめるな
経営コンサルティング2023.02.02タピオカ
バラの街2023.01.29八千代緑が丘北口ロータリーバラ園 バラの水やり