HTTPヘッダ・インジェクション

HTTPヘッダ・インジェクションは、正規のHTTPヘッダに悪意を持って加工された情報を仕掛け、その情報を元に偽装されたWebページを表示させる攻撃です。

引用元：https://www.ipa.go.jp/files/000017316.pdf

被害

・XSSによる被害と同様
・任意でcookieの発行
・キャッシュサーバのキャッシュが汚染される

注意が必要なWebサイトの特徴

Cookieを用いてログインのセッション管理を実施しているWebサイト及びWebサイト内にリバースプロキシとしてキャッシュサーバを構築している場合

対策

・ヘッダ出力を直接的に実施しない。
・APIを使用

関連リンク

Web脆弱性診断サービス

CSRF

XSS

SQLインジェクション

OSコマンドインジェクション

ディレクトリ・リスティング

メールヘッダ・インジェクション

ディレクトリ・トラバーサル