HTTPヘッダインジェクションとOSコマンドインジェクションの違いと対策方法を徹底解説! | セキュリティ対策 | CyberSecurityTIMES
HTTPヘッダインジェクションとOSコマンドインジェクションの違いと対策方法を徹底解説! 2020.01.06 セキュリティ対策 概要 HTTPヘッダインジェクションは、HTTPレスポンスヘッダの出力処理に関するサイバー攻撃です。この脆弱性が存在する場合、「任意のクッキーがセットされる」、「任意のURLへリダイレクトされる」などの問題が発生する可能性があります。 前提 攻撃の説明の前に、少しだけHTTPレスポンスのデータ構造についてご説明します。 データ構造の仕組みを悪用することがHTTPヘッダインジェクションになり、最低限の知識は身につけておく必要があります。 HTTPで通信した際、HTTPレスポンスは下記のような内容になります。 【HTTPレスポンスの例】 HTTP/1.1 200 OK Date: Wed, 08 Feb 2017 08:33:35 GMT Expires: -1 C
GETメソッドとは - IT用語辞典
サーバに指定した資源を送信するよう要求するメソッドで、HTTP通信で最も一般的に用いられる。クライアント(Webブラウザなど)からのリクエストはヘッダのみで、サーバからの応答(レスポンス)には要求されたファイル本体などのボディ部が付属する。 サーバに何か情報を知らせたい場合にはURLのファイル名などの末尾に「?」を付け、続けて「パラメータ名=値」の形式で記述する。「&」で区切ることで複数のパラメータを送信することもできる。URLの一部であるためあまり長い情報は送れず、クライアントからファイルを送信するなど大きなデータを送信したい場合はPOSTメソッドを用いる。
URIとファイルディレクトリ
ごく簡単なHTMLの説明:ほかの文書、場所へのリンクで説明しているように、HTMLのハイパーリンクはURL (URI)という仕組みでリンク先を指定します。この記述方法は、ネットワーク上でのサーバーの指定方法と、サーバー内の特定のリソース(ファイルなど)の指定を組み合わせています。 URL : ウェブのアドレス指定方法 ディスクのディレクトリ構造とファイルパス 相対パスによる指定 URLで使用する文字 URIとURL URL : ウェブのアドレス指定方法 ウェブ上のリソースの「所在地」を示す方法としては、URL (Uniform Resource Locator) が用いられます(一般名称のURIについては本稿の最後で説明します)。これはお馴染みの (例) http://www.kanzaki.com/docs/html/htminfo-uri.html という形のものです。このhttp:で
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
