HTTP header injection (original) (raw)
Header-Injection ist eine Klasse von Sicherheitslücken in Webanwendungen, welche auftreten, wenn die Header eines Protokolls dynamisch unter Hinzunahme von unzureichend geprüften Benutzereingaben generiert werden. Header-Injection in HTTP kann z. B. zu HTTP-Response-Splitting und Cross-Site Scripting führen. Bei der dynamischen Erstellung von E-Mails über eine Webanwendung kann ein Header-Injection-Angriff genutzt werden, um andere Empfänger in eine E-Mail einzutragen und so z. B. Spam zu versenden (E-Mail-Injektion).
| Property | Value |
|---|---|
| dbo:abstract | Header-Injection ist eine Klasse von Sicherheitslücken in Webanwendungen, welche auftreten, wenn die Header eines Protokolls dynamisch unter Hinzunahme von unzureichend geprüften Benutzereingaben generiert werden. Header-Injection in HTTP kann z. B. zu HTTP-Response-Splitting und Cross-Site Scripting führen. Bei der dynamischen Erstellung von E-Mails über eine Webanwendung kann ein Header-Injection-Angriff genutzt werden, um andere Empfänger in eine E-Mail einzutragen und so z. B. Spam zu versenden (E-Mail-Injektion). (de) HTTP header injection is a general class of web application security vulnerability which occurs when Hypertext Transfer Protocol (HTTP) headers are dynamically generated based on user input. Header injection in HTTP responses can allow for HTTP response splitting, Session fixation via the Set-Cookie header, cross-site scripting (XSS), and malicious redirect attacks via the location header. HTTP header injection is a relatively new area for web-based attacks, and has primarily been pioneered by Amit Klein in his work on request/response smuggling/splitting. (en) La Inyección de encabezado HTTP es una clase general de de aplicaciones web que se produce cuando los encabezados del Protocolo de transferencia de hipertexto (HTTP) se generan dinámicamente en función de la entrada del usuario. La inyección de cabeceras en las respuestas HTTP puede permitir la división de respuestas HTTP (también conocido como ), la a través del encabezado Set-Cookie, cross-site scripting (XSS), y los ataques de redireccionamiento maliciosos a través de la cabecera de ubicación. La inyección de encabezado HTTP es un área relativamente nueva para los , y principalmente ha sido promovida por Amit Klein en su trabajo sobre requerimiento/respuesta contrabando/división. Las vulnerabilidades debido a inyecciones de cabecera HTTP tales como CRLF ya no son factibles debido al hecho de que múltiples solicitudes de cabecera no son posibles. (es) HTTPヘッダ・インジェクション(HTTP header injection)とは、HTTPを使って通信するシステムにおいて、動的にHTTPヘッダを生成する機能の不備を突いてヘッダ行を挿入することで不正な動作を行なわせる攻撃手法のこと。また、その攻撃を可能とする脆弱性のこと。 (ja) |
| dbo:wikiPageExternalLink | http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/2008-April/003692.html https://regilero.github.io/security/english/2015/10/04/http_smuggling_in_2015_part_one/ https://www.owasp.org/index.php/HTTP_Response_Splitting https://www.owasp.org/index.php/Testing_for_HTTP_Splitting/Smuggling_%28OTG-INPVAL-016%29 |
| dbo:wikiPageID | 7524275 (xsd:integer) |
| dbo:wikiPageLength | 1470 (xsd:nonNegativeInteger) |
| dbo:wikiPageRevisionID | 1074209841 (xsd:integer) |
| dbo:wikiPageWikiLink | dbr:Hypertext_Transfer_Protocol dbr:Cross-site_scripting dbr:Web_application dbr:HTTP_request_smuggling dbr:HTTP_response_splitting dbc:Hypertext_Transfer_Protocol_headers dbr:Session_fixation dbc:Web_security_exploits dbr:List_of_HTTP_headers dbr:Security_vulnerability |
| dbp:wikiPageUsesTemplate | dbt:HTTP dbt:Reflist dbt:Web-stub |
| dcterms:subject | dbc:Hypertext_Transfer_Protocol_headers dbc:Web_security_exploits |
| gold:hypernym | dbr:Class |
| rdf:type | yago:WikicatComputerSecurityExploits yago:WikicatWebSecurityExploits yago:Abstraction100002137 yago:Accomplishment100035189 yago:Act100030358 yago:Action100037396 yago:Communication100033020 yago:Event100029378 yago:Feat100036762 yago:Heading106343971 yago:Line107012534 yago:Matter106365467 yago:PsychologicalFeature100023100 yago:WikicatHypertextTransferProtocolHeaders yago:Writing106362953 yago:WrittenCommunication106349220 yago:YagoPermanentlyLocatedEntity yago:Text106387980 |
| rdfs:comment | Header-Injection ist eine Klasse von Sicherheitslücken in Webanwendungen, welche auftreten, wenn die Header eines Protokolls dynamisch unter Hinzunahme von unzureichend geprüften Benutzereingaben generiert werden. Header-Injection in HTTP kann z. B. zu HTTP-Response-Splitting und Cross-Site Scripting führen. Bei der dynamischen Erstellung von E-Mails über eine Webanwendung kann ein Header-Injection-Angriff genutzt werden, um andere Empfänger in eine E-Mail einzutragen und so z. B. Spam zu versenden (E-Mail-Injektion). (de) HTTP header injection is a general class of web application security vulnerability which occurs when Hypertext Transfer Protocol (HTTP) headers are dynamically generated based on user input. Header injection in HTTP responses can allow for HTTP response splitting, Session fixation via the Set-Cookie header, cross-site scripting (XSS), and malicious redirect attacks via the location header. HTTP header injection is a relatively new area for web-based attacks, and has primarily been pioneered by Amit Klein in his work on request/response smuggling/splitting. (en) HTTPヘッダ・インジェクション(HTTP header injection)とは、HTTPを使って通信するシステムにおいて、動的にHTTPヘッダを生成する機能の不備を突いてヘッダ行を挿入することで不正な動作を行なわせる攻撃手法のこと。また、その攻撃を可能とする脆弱性のこと。 (ja) La Inyección de encabezado HTTP es una clase general de de aplicaciones web que se produce cuando los encabezados del Protocolo de transferencia de hipertexto (HTTP) se generan dinámicamente en función de la entrada del usuario. La inyección de cabeceras en las respuestas HTTP puede permitir la división de respuestas HTTP (también conocido como ), la a través del encabezado Set-Cookie, cross-site scripting (XSS), y los ataques de redireccionamiento maliciosos a través de la cabecera de ubicación. La inyección de encabezado HTTP es un área relativamente nueva para los , y principalmente ha sido promovida por Amit Klein en su trabajo sobre requerimiento/respuesta contrabando/división. Las vulnerabilidades debido a inyecciones de cabecera HTTP tales como CRLF ya no son factibles debido a (es) |
| rdfs:label | Header-Injection (de) Inyección de encabezado HTTP (es) HTTP header injection (en) HTTPヘッダ・インジェクション (ja) |
| owl:sameAs | freebase:HTTP header injection yago-res:HTTP header injection wikidata:HTTP header injection dbpedia-de:HTTP header injection dbpedia-es:HTTP header injection dbpedia-ja:HTTP header injection https://global.dbpedia.org/id/aShy |
| prov:wasDerivedFrom | wikipedia-en:HTTP_header_injection?oldid=1074209841&ns=0 |
| foaf:isPrimaryTopicOf | wikipedia-en:HTTP_header_injection |
| is dbo:wikiPageRedirects of | dbr:HTTP_Header_Injection |
| is dbo:wikiPageWikiLink of | dbr:HTTP_Header_Injection dbr:Vulnerability_(computing) dbr:Cross-site_scripting dbr:List_of_HTTP_header_fields |
| is foaf:primaryTopic of | wikipedia-en:HTTP_header_injection |