1. 情報セキュリティブログ ホーム
  2. セキュリティ用語解説
  3. HTTPレスポンススプリッティングとは

HTTPレスポンススプリッティングとは

Webアプリケーションの脆弱性を悪用した攻撃の一つで、サーバーに不正なリクエストを送り、サーバーからのレスポンスを2つに分割させることで、サイトのなりすましを行ったり、ユーザーのWebブラウザのキャッシュを書き換えたり、クロスサイトスクリプティングを仕掛けたりといったセキュリティ侵害を起こさせる攻撃のこと。

攻撃者はHTTPヘッダーに不正な文字列などを挿入することで、サーバーから1つではなく2つのレスポンスを受けるよう仕向ける。これにより、攻撃者が用意した偽のWebページをWebサーバーにキャッシュさせ、ユーザーが正規のページを閲覧したとしても、偽のページへ誘導されてしまうというもの。

外部から渡されるパラメータの値から動的に生成するWebアプリケーションには注意が必要だ。開発者はヘッダーの出力を直接行わないなどの対策が求められる。

セキュリティ用語辞典一覧ページへ

  • ファイルを人質にとるランサムウエアに新バージョンが出現との報道
  • カテゴリートップへ
  • DNSの脆弱性に関連して「OpenID」に攻撃の危険性