HTTPヘッダ・インジェクションとは

Tweet

WebブラウザとWebアプリケーションとの情報交換を行うために用いられるHTTPヘッダに、任意の情報を挿入することで攻撃を行う手法のこと。偽のWebサイトに誘導し、暗証番号などを入力させて情報を盗み出すフィッシングなどに悪用される。

Webアプリケーションには、HTTPヘッダを、ブラウザから送信される情報を基に作成するものがある。CookieをWebブラウザに送信したり、Webページへのリダイレクトを命令したりするなど、HTTPヘッダを操作するための関数が用意されているが、これらの関数を悪用すると悪意のコードをHTTPヘッダに挿入できてしまうのだ。

HTTPヘッダに挿入された悪意のコードに基づいて偽のページが表示されることに加え、偽のCookieが作成されたり、フィッシングサイトにリダイレクトを行ったりするなどの様々な被害が考えられる。情報が埋め込まれる場所が異なるものの、クロスサイトスクリプティング(XSS)と同様の手口となる。

HTTPヘッダ・インジェクションを回避するには、Webアプリケーションの管理者は、HTTPヘッダの注入時に悪用される改行コードを、外部からの入力時には削除するなどのプログラム処理が必要だ。Cookieを利用してログインのセッション管理を行っているWebサイトなどはしっかりと対策を行いたい。