Wstrzyknięcie nagłówka HTTP — HTTP header injection
HTTP |
---|
Poproś o metody |
Pola nagłówka |
Kody statusu |
Metody kontroli dostępu do zabezpieczeń |
Luki w zabezpieczeniach |
Wstrzykiwanie nagłówka HTTP to ogólna klasa luk w zabezpieczeniach aplikacji internetowych, która występuje, gdy nagłówki protokołu HTTP ( Hypertext Transfer Protocol ) są generowane dynamicznie na podstawie danych wprowadzanych przez użytkownika. Wstrzykiwanie nagłówka w odpowiedziach HTTP umożliwia dzielenie odpowiedzi HTTP , utrwalanie sesji za pomocą nagłówka Set-Cookie, wykonywanie skryptów krzyżowych (XSS) oraz złośliwe przekierowania za pomocą nagłówka lokalizacji. Wstrzykiwanie nagłówka HTTP jest stosunkowo nowym obszarem ataków internetowych, a jego pionierem był przede wszystkim Amit Klein w swojej pracy nad przemytem/odpowiedzią na żądanie/odpowiedź.
Źródła
- Pobieranie pliku wstrzykiwanie w trybie offline
- Podział żądania HTTP OWASP
- Testowanie OWASP pod kątem podziału/przemytu HTTP
- Przemyt HTTP w 2015 roku
Zobacz też
Bibliografia