HTTPヘッダインジェクション
2017年01月18日 22時32分09秒
SQLインジェクション、クロスサイトスクリプティング(XSS)
この2つはよく聞く言葉。
で、今回新たにHTTPヘッダインジェクションというのが存在することを知った。
HTTPヘッダインジェクションで検索すれば情報は沢山出てくるので、詳細についてはそちらを参照してもらうとして、
今回ハマったのはリダイレクトしか行わないWebAPIでHTTPヘッダインジェクションを指摘されたこと。
レスポンスヘッダに改行コードを埋め込むことで任意のスクリプトを実行させられるようになるとのことだが、試してみてもスクリプトが実行されない。
普通に次の画面へリダイレクトされるのみ。
で、調べてみたところ、リダイレクト(HTTPステータスが502)の場合は、
ブラウザがレスポンスボディを評価しない仕様になっていることが判明。
なので、スクリプトを埋め込んでも何も起きなかった模様。
だからと言って放置するわけにもいかないので、改行コードをエスケープして対応して問題解決。
この2つはよく聞く言葉。
で、今回新たにHTTPヘッダインジェクションというのが存在することを知った。
HTTPヘッダインジェクションで検索すれば情報は沢山出てくるので、詳細についてはそちらを参照してもらうとして、
今回ハマったのはリダイレクトしか行わないWebAPIでHTTPヘッダインジェクションを指摘されたこと。
レスポンスヘッダに改行コードを埋め込むことで任意のスクリプトを実行させられるようになるとのことだが、試してみてもスクリプトが実行されない。
普通に次の画面へリダイレクトされるのみ。
で、調べてみたところ、リダイレクト(HTTPステータスが502)の場合は、
ブラウザがレスポンスボディを評価しない仕様になっていることが判明。
なので、スクリプトを埋め込んでも何も起きなかった模様。
だからと言って放置するわけにもいかないので、改行コードをエスケープして対応して問題解決。
PR
Comment
