Webセキュリティの小部屋

ホーム > Webアプリケーションセキュリティ > HTTP ヘッダー・インジェクションと対策

公開日：2013年3月21日

HTTP ヘッダー・インジェクションと対策

HTTP ヘッダー・インジェクションとは

HTTP ヘッダーインジェクションとは、リダイレクト先を指定する Location ヘッダーなどに改行コードを含めることにより、以下のようなことを行える脆弱性です。

任意のレスポンスヘッダーの追加
レスポンスボディの偽造

これにより、クロスサイト・スクリプティングと同様の被害が起きます。

偽ページの表示
Cookie の発行
任意のスクリプト実行
情報漏えい

また、HTTP のレスポンスを分割することもできます。複数のレスポンスを作り出す攻撃は「HTTP レスポンス分割攻撃」と呼ばれます。

HTTP ヘッダー・インジェクションの対策

HTTP ヘッダー出力用 API を使用する
改行コードを適切に処理する HTTP ヘッダー用 API がない場合は適切な対処を行う

■HTTP ヘッダー出力用 API を使用する

HTTP ヘッダーの出力は単純ではないため、言語で用意された HTTP ヘッダー出力用の API を指定します。

■改行コードを適切に処理する HTTP ヘッダー用 API がない場合は適切な対処を行う

HTTP ヘッダーを出力する API が適切に改行コードを処理できない場合は、以下のような対応を行います。

改行の後に空白を入れることで継続行として処理する
改行コード以降の文字を削除する
改行が含まれていたら処理を中断する

改行コードを削除する

■改行コードを削除する

外部からの入力全てについて改行コードを削除することで、HTTP ヘッダーを加工されないようにします。

スポンサーリンク

« ディレクトリ・トラバーサル対策(PHP編)

メールヘッダー・インジェクションと対策 »

カテゴリー:Webアプリケーションセキュリティ

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー

コメントを残すコメントをキャンセル

プロフィール

名前：fnya
SE としての経験は１５年以上。業務システムの経験が多いですが、セキュリティにも携わっていました。現在は、趣味でセキュリティを追っかけています。情報セキュリティスペシャリスト。

現在、Enty で支援を受け付けています。もしよければご支援ください。

Follow @fnya

最近の記事

ラックが無償で提供するPCのセキュリティ状況を診断する「自診くん」を試してみた

[ランサムウェア対策]ネットワークドライブは net use コマンドで使用時のみ接続しよう

SiteGuard Lite(WAF)のレポートを見るとびっくりするほど攻撃を受けている件

SiteGuard Lite で「java.io.IOException: Stream closed」エラーでレポートが出力されなくなった場合の解消方法

Content Security Policy(CSP)をサイトに適用しました(Analytics,Adsenseも動くよ）

カテゴリ

おすすめ書籍

体系的に学ぶ安全なWebアプリケーションの作り方
言わずと知れたWebアプリケーションセキュリティの定番教科書。「徳丸本」として親しまれています。

徳丸浩のWebセキュリティ教室
「徳丸本」の後に出版され、「徳丸本」がカバーしていない内容を扱っています。最新動向も押さえられています。
レビュー記事

基本がわかる安全設計のWebシステム
コードの記載なしでWebアプリケーションセキュリティの基本を、正しく解説している良書です。PM、SE、初心者に向いています。
レビュー記事