|
===================================== 〔語彙分解〕的な部分一致の検索結果は以下の通りです。 ・ インジェクション : [いんじぇくしょん] (n) injection, (n) injection
HTTPヘッダ・インジェクション(HTTP header injection)とは、HTTPを使って通信するシステムにおいて、動的にHTTPヘッダを生成する機能の不備を突いてヘッダ行を挿入することで不正な動作を行なわせる攻撃手法のこと。また、その攻撃を可能とする脆弱性のこと。 == 原理 == SQLインジェクションなどと同様に、入力値を出力に用いている箇所において、文法上特殊な意味を持つ文字をエスケープせずに展開することで発生する。 HTTPヘッダにおける特殊文字とは、改行コードである。各HTTPヘッダ行は改行で終了し、それ以降は新たなヘッダ行として処理される。この結果、HTTPヘッダの値として改行コードを挿入することができれば、本来の通信内容には含まれないヘッダを挿入することができる。 また、HTTPは空行によってヘッダとボディを区切っている。連続する改行を挿入すればHTTPヘッダの終了を示すことになり、後続するヘッダ行があってもボディとして処理される。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「HTTPヘッダ・インジェクション」の詳細全文を読む スポンサード リンク
|