HTTPヘッダインジェクションとは?対策と具体例|脆弱性診断.jp
■説明 HTTPヘッダーインジェクション(HTTP Header Injection)とは、Webアプリケーションが返してくるHTTPレスポンスに任意のヘッダーやボディを追加する攻撃です。HTTPレスポンスに改行コードを追加して不正なボディ部分を作り出す攻撃は、HTTPレスポンス分割(HTTP Response Splitting)とも呼ばれています。 Webアプリケーションからの応答であるHTTPレスポンスのヘッダー部分には、「Set-Cookie」や「Location」といったパラメータが含まれることがあります。これらのパラメータにユーザーが入力した値が使われていて、その値のチェックが不十分な場合に、任意のヘッダーを挿入されたり、改行コード(CR+LF:%0d%0a)を追加され任意のボディ部分を挿入される、などの攻撃を受ける場合があります。 HTTPヘッダーインジェクション
インジェクション系攻撃への防御の鉄則
前回までは,主にクロスサイト・スクリプティングのぜい弱性とその対策について解説してきた。最終回となる今回は,クロスサイト・スクリプティング以外の「インジェクション系」ぜい弱性について解説する。具体的には,SQLインジェクション,OSコマンド・インジェクション,HTTPヘッダー・インジェクション,そしてメールの第三者中継である。 SQLインジェクション対策にはバインド変数の利用が最適 まず,SQLインジェクションから見ていこう。対策には二つの方法がある。一つは,SQLの「バインド変数(注1)」を使う方法である。バインド変数の書式はプログラミング言語によって異なるが,一例として,Perlを使った場合に,パスワード認証のSQLをバインド変数で書き換えた例を示す(図1)。 (注1) 「準備された文(Prepared Statement)」というのがJIS SQLでの用語だがあまり普及していない。バ
脆弱性を利用した攻撃手法(5) --- クロスサイト・スクリプティング(前編)
ポイント ●Webアプリケーションは,ユーザーに送信するページ(コンテンツ)を動的に作ることができる。この時に,半角<>などの特殊文字を適切に処理していないと,クロスサイト・スクリプティングにつながる ●Cookieとは,Webサーバーを訪問した人のコンピュータ(ブラウザ)に,テキスト・データを保存しておく仕組みのこと。認証情報や個人的な情報が入っている場合があるため,攻撃の的になりやすい クロスサイト・スクリプティングは,これまでに紹介してきた他の攻撃手法(ディレクトリ・トラバーサル,OSコマンド・インジェクション,SQLインジェクション)と同様にWebアプリケーションの脆弱性を突く攻撃手法です。ただし,名前の通り,サイトをクロスして(またがって)実行されるため,しくみが複雑になっています。 この連載では,クロスサイト・スクリプティングの例として,ユーザーPCのCookieの内容を詐取す
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
隠されていたSQLインジェクション ― @IT
星野君は赤坂さんと一緒にお客さんのWebアプリケーションの検査をすることになった。辛うじて「不必要情報」の脆弱性を見つけたものの、赤坂さんは不満げだ。 「だって、これ、ほかにもっと危険な脆弱性あるよ……」。 赤坂さん 「ってことで、今回は50点ってとこかな」 星野君 「うわっ。厳しいですね……。一応脆弱性は見つけたんだからもう少し……」 赤坂さん 「え。だって、これ、ほかにもっと危険な脆弱性あるよ」 星野君 「(ほかにも脆弱性あるっていってもなぁ……)」 赤坂さんに「ほかにもっと危険な脆弱性あるよ」と指摘されたにもかかわらず、星野君にはサッパリ見当が付かなかった。不必要情報(Unnecessary Information)の脆弱性に気付くまでの作業で、一通り思い付くことはやりつくしていた。 そうこうしているうちに時間は過ぎ、結局ほかの脆弱性を見つけられないまま、お客さんと約束した時間になっ
Insider's Computer Dictionary:クロスサイト・スクリプティング とは? - @IT
クロスサイト・スクリプティング (cross-site scripting) 別名 ・CSS (cross-site scripting) 【シー・エス・エス】 ・XSS (cross-site scripting) 【エックス・エス・エス】 Webサーバ上で動作しているアプリケーションに関するセキュリティ・ホールの1つ。ユーザーの入力などに応じて動的に生成されるWebページにおいて、特殊なスクリプト・コードを入力すれば、本来は許可されていないような操作を行うことができるというセキュリティ・ホール。これを悪用すると、例えば別のWebサイトへCookie情報を送信させたり、ローカルのコンピュータに格納されている情報をほかのサーバなどへ送信させたりすることができる。スクリプトを使って、もともとのWebサイト以外へも(サイトを越えて)情報を漏えいさせてしまうので、クロスサイト・スクリプティング(
Twitterで広がるJavaScriptの「onMouseOver」を使った攻撃
世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。 まずは米Twitterのクロスサイトスクリプティング(XSS)問題。米ウェブセンスが、その内容を「Twitter、JavaScriptの『onMouseOver』を使った攻撃が広まる」(Twitter OnMouseOver Flaw In The Wild)として、同社ブログで解説している。 それによると、twitter.comは2010年9月21日(米国時間)、XSS関連のセキュリティホールを悪用された。同サイトにアクセスして、細工された入りツィートにマウスポインターを重ねると、勝手にポップアップメッセージが表示されてしまうのだという。 このツィートにはイベントハンドラー「onMouseOver」を使ったJavaScriptコードが記述されていて、ユーザーがクリックしなくても何らかの動作を実行す
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
