HTTP Response Splitting

Lexikon webových zranitelností

zpět
Název: HTTP Response Splitting
Zařazení: Injection, Útoky proti uživatelům, Validace vstupu a výstupu
Závažnost: Nízká - Vysoká

Popis:

HTTP Response Splitting je zranitelnost postihující aplikace, které přebírají vstup uživatele a ten bez sanitace vkloží do obsahu HTTP hlavičky.

Pokud útočník předá aplikaci prostřednictvím svého vstupu také bílé znaky CR+LF, dojde k injektáži nové HTTP response hlavičky, nebo libovolného obsahu webové stránky.

Ve spojení s dalšími slabinami webové aplikace umožňuje HTTP Response Splitting útočníkovi provádět například následující typy útoků:

Ochrana spočívá ve filtrování a odstraňování bílých znaků ve vstupu uživatele před tím, než je tato hodnota vložena do obsahu HTTP hlavičky.

Související: