HTTPヘッダ・インジェクションとは

サルコップさん  
(No.1)
初歩的な質問ですみません。
HTTPヘッダ・インジェクションの攻撃者からの利点がよくわかりません。

IPAのページを見ると、まず利用者に何らかの方法で悪意のあるリンクを実行させる必要があり、
リンクを踏ませることで、サーバーレスポンスヘッダに改行を入れてサーバーから表示させたスクリプトを実行させます。
その際に改行コードが削除されるような対策をされたサーバーには効果がありません。

それなら、最初からリンク先を攻撃者が用意したサーバーにして、好きにすればいいのでは?
と思うのですが、それはできないでしょうか。
2023.08.28 21:22
サルコップさん  
(No.2)
そもそもこの攻撃がサーバーを攻撃したいのか、ユーザーを攻撃したいのかもよくわかりません。
2023.08.28 21:24
pixさん 
SC ダイヤモンドマイスター
(No.3)
HTTPヘッダインジェクションは少々分かりにくい攻撃方法です。
基本的にユーザーを攻撃します。
主に以下2つの攻撃があります。
・偽のリダイレクト
・偽のクッキーの生成

偽のリダイレクト:
正規のページにあるリダイレクト情報を上書きし、偽のサイトへ誘導します。
偽のクッキーの生成:
セッションIDなどのクッキーを不正に生成します。
これによりセッション固定化攻撃(セッションフィクセーション)などの
攻撃を行います。

>それなら、最初からリンク先を攻撃者が用意したサーバーにして、
>好きにすればいいのでは?と思うのですが、それはできないでしょうか。
もし、攻撃者の用意したサイト名が
[(h)ttps://www.kougeki.org]のように誰の目から見ても、怪しい名前であったら
だれも、リンクをクリックしないでしょう。

しかし、HTTPヘッダインジェクションは、サイト名は
[(h)ttps://www.hoge.org]のように、正規に存在する安全なサイトです。
サイト自体は正規のサイトなので、リンクをクリックしてしまう可能性は高いです。
また、HTTPヘッダにインジェクションされる情報はURLの後ろに変数として
付与されているのため
・リンクをクリックする時につど、URLの後ろのほうまで確認しない
・一般の人にはそれが攻撃であると判断するのは難しい
など、巧妙に攻撃であることが発見しずらいという特徴があります。
2023.08.29 05:44
サルコップさん  
(No.4)
pixさん

ご回答ありがとうございます。

>・偽のリダイレクト
>・偽のクッキーの生成

なるほど、サイトを永続的に改ざんや破壊するのではなく、
一時的にサイトを介して、ユーザーを攻撃するのですね。

>[(h)ttps://www.hoge.org]のように、正規に存在する安全なサイトです。
>サイト自体は正規のサイトなので、リンクをクリックしてしまう可能性は高いです。

なるほど、これですね。これがわかっていませんでした。
てっきり怪しいリンクを踏んでしまうようなITリテラシーの低い人を対象に攻撃していると思ってましたが、ユーザーからは正規のサイトのように見えるということなんですね。

色々書籍やサイトを見ても腑に落ちなかった点が、この説明でようやく理解できました。
大変たすかりました。ありがとうございました。
2023.08.29 09:41

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop