はじめに この記事は下記リンクの日本語翻訳記事です 翻訳が誤っている場合はコメントか@no1zy_secまでお知らせいただけると幸いです。 [http_splitting] HTTP Splitting HTTP Splitting は 不適切なバリデーションを使用する攻撃です。通常、Nginx (HTTP Request Splitting) やそのユーザー (HTTP Response Splitting) の背後にあるwebアプリケーションを対象としています。 攻撃者がNginxによって作成されたリクエストやレスポンスの中にnewline character(\nや\r)を挿入できるときに脆弱性になります。 どうやって見つけるか リクエストの作成を担当する変数がディレクティブ内で使用されています。例: rewrite, add_header, proxy_set_header または
![nginxの設定ミスで起こるHTTP Splitting - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/7e9c04928d2b1a5441f7dfd7abaf0c7bb7e73272/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9bmdpbnglRTMlODElQUUlRTglQTglQUQlRTUlQUUlOUElRTMlODMlOUYlRTMlODIlQjklRTMlODElQTclRTglQjUlQjclRTMlODElOTMlRTMlODIlOEJIVFRQJTIwU3BsaXR0aW5nJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWNsaXA9ZWxsaXBzaXMmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz0yMDU2YzEzMTQ4N2EzNmEyZDcyODMxMDUwZjA0YTk5YQ%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwbm8xenlfc2VjJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz0zNDEzNjA4MzQxZDAyZjY2MDI0ZGU4Yjc1ZmU4MWY5NQ%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D0899c148f0722260f8ed89858055165a)