PHPの脆弱性CVE-2018-17082は「XSS」として報告されていますが、実際にはHTTP Request Smuggling(HRS)として解釈するべきです。脆弱性の原因はContent-LengthとTransfer-Encodingの両方を含む場合、RFCの定義ではContent-Lengthを無視すべきところ、PHP側がRFC通りの実装になっていなかったことにあります。この動画では、Chunked EncodingとHRSの基礎的な説明を行います。 ------------ ■EG セキュアソリューションズ株式会社 https://www.eg-secure.co.jp/ ■お仕事の依頼はこちらから https://www.eg-secure.co.jp/contact/ ------------
![CVE-2018-17082に学ぶHTTP Request Smuggling(HRS)入門](https://cdn-ak-scissors.b.st-hatena.com/image/square/df8de2a81faf1689e37b8c852e4ff7c4d4c89ce2/height=288;version=1;width=512/https%3A%2F%2Fi.ytimg.com%2Fvi%2FVUBR1rVAquw%2Fhqdefault.jpg)