■説明 HTTPヘッダーインジェクション(HTTP Header Injection)とは、Webアプリケーションが返してくるHTTPレスポンスに任意のヘッダーやボディを追加する攻撃です。HTTPレスポンスに改行コードを追加して不正なボディ部分を作り出す攻撃は、HTTPレスポンス分割(HTTP Response Splitting)とも呼ばれています。 Webアプリケーションからの応答であるHTTPレスポンスのヘッダー部分には、「Set-Cookie」や「Location」といったパラメータが含まれることがあります。これらのパラメータにユーザーが入力した値が使われていて、その値のチェックが不十分な場合に、任意のヘッダーを挿入されたり、改行コード(CR+LF:%0d%0a)を追加され任意のボディ部分を挿入される、などの攻撃を受ける場合があります。 HTTPヘッダーインジェクション