想定される攻撃例
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2020/08/01 16:38 UTC 版)
「HTTPヘッダ・インジェクション」の記事における「想定される攻撃例」の解説
改行の後にSet-Cookie(またはSet-Cookie2)ヘッダを挿入することで、任意の値のHTTP cookieを設定させることができる。WebアプリケーションのセッションIDは通常、HTTP cookieで管理されており、固定値で上書きできればセッション固定攻撃を実現できる。セッション固定攻撃はセッションハイジャックを容易にする。 連続する改行を挿入すると、HTTPヘッダの終了およびボディの開始を指示することができる。連続する改行の後の内容はボディの先頭部分として処理されるため、ボディに任意の記述を挿入できることになる。これはクロスサイトスクリプティング等に繋がる可能性がある。 HTTP 1.1のKeep-Aliveが有効な接続でContent-Lengthヘッダの改竄などを行なうと、ひとつの応答を複数に分割したり、また逆に複数の応答をひとつの応答として処理させたりすることができる。
※この「想定される攻撃例」の解説は、「HTTPヘッダ・インジェクション」の解説の一部です。
「想定される攻撃例」を含む「HTTPヘッダ・インジェクション」の記事については、「HTTPヘッダ・インジェクション」の概要を参照ください。
ウィキペディア小見出し辞書の「想定される攻撃例」の項目はプログラムで機械的に意味や本文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。
お問い合わせ。
- 想定される攻撃例のページへのリンク
