LWSとHTTPヘッダインジェクション | 技術者ブログ | 三井物産セキュアディレクション株式会社今回のトピックは「HTTPヘッダインジェクション」です。 HTTPヘッダインジェクションは、リクエストパラメータの操作等により、HTTPのレスポンスヘッダに改行文字(CR,LF)を挿入し、ヘッダフィールドを追加したり、ボディを操作したり、新たな偽のHTTPレスポンスを作り出したりする(HTTPレスポンス分割)攻撃、あるいは脆弱性です。 状況にもよりますが、この脆弱性は、被害者のブラウザにおいて、脆弱性のあるページのオリジンで不正なJavaScriptを実行する攻撃につながりえます。つまり被害としては、クロスサイトスクリプティングと同様になりうるということになります。 この脆弱性は古くから知られており、近年は特に目新しいトピックもなかったのですが、2014〜2015年に状況の変化があったので、今回取り上げてみたいと思います。 タイトルにあるように、本記事の主なテーマは「LWS」とHTTPヘッ
