忍者ブログ

[PR]

2025年09月04日 23時17分09秒
×

[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。

HTTPヘッダインジェクション

2017年01月18日 22時32分09秒
SQLインジェクションクロスサイトスクリプティングXSS
この2つはよく聞く言葉。
で、今回新たにHTTPヘッダインジェクションというのが存在することを知った。

HTTPヘッダインジェクションで検索すれば情報は沢山出てくるので、詳細についてはそちらを参照してもらうとして、
今回ハマったのはリダイレクトしか行わないWebAPIでHTTPヘッダインジェクションを指摘されたこと。

レスポンスヘッダに改行コードを埋め込むことで任意のスクリプトを実行させられるようになるとのことだが、試してみてもスクリプトが実行されない。
普通に次の画面へリダイレクトされるのみ。

で、調べてみたところ、リダイレクト(HTTPステータスが502)の場合は、
ブラウザがレスポンスボディを評価しない仕様になっていることが判明。
なので、スクリプトを埋め込んでも何も起きなかった模様。

だからと言って放置するわけにもいかないので、改行コードをエスケープして対応して問題解決。

PR
Comment
  Vodafone絵文字 i-mode絵文字 Ezweb絵文字