HTTPヘッダ・インジェクション

HTTPヘッダ・インジェクションは、正規のHTTPヘッダに悪意を持って加工された情報を仕掛け、その情報を元に偽装されたWebページを表示させる攻撃です。


引用元:https://www.ipa.go.jp/files/000017316.pdf

 

被害

XSSによる被害と同様
・任意でcookieの発行
キャッシュサーバのキャッシュが汚染される

 

注意が必要なWebサイトの特徴

Cookieを用いてログインのセッション管理を実施しているWebサイト及びWebサイト内にリバースプロキシとしてキャッシュサーバを構築している場合

 

対策

・ヘッダ出力を直接的に実施しない。
APIを使用

 

関連リンク

Web脆弱性診断サービス

CSRF

XSS

SQLインジェクション

OSコマンドインジェクション

ディレクトリ・リスティング

メールヘッダ・インジェクション

ディレクトリ・トラバーサル

HTML HTML HTML 

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop