バラクーダネットジャパンはコラム「HTTP Desync攻撃: リクエストスマグリング攻撃の亜種」を公開しました。
# # #
2020年11月17日、Aravindan Anandan
2019年8月、PortSwiggerはHRS(HTTPリクエストスマグリング)攻撃の亜種であるHTTP Desync攻撃の最新情報を公開しました。また、調査では、スマグリング攻撃による大規模な損害を特定し、かつては無視されていた方法がどのように悪用されて、大規模な損害が生じるかを明らかにしました。
リクエストスマグリング攻撃はサーバがHTTPリクエストのさまざまな側面の異常をセキュアに処理できないことを悪用します。HRSの例は、リクエスト内のCR(キャリッジリターン)およびLF(ラインフィード)文字の標準的ではない使用方法、またはContent-Length、Transfer-Encodingなどの標準ヘッダの悪意のある使用です。この基本的な脆弱性は、XSS(クロスサイトスクリプティング)攻撃、権限情報への未認証のアクセス、およびキャッシュポイズニングにも悪用される可能性があります。
この続きは以下をご覧ください
(リンク »)
2020年11月17日、Aravindan Anandan
2019年8月、PortSwiggerはHRS(HTTPリクエストスマグリング)攻撃の亜種であるHTTP Desync攻撃の最新情報を公開しました。また、調査では、スマグリング攻撃による大規模な損害を特定し、かつては無視されていた方法がどのように悪用されて、大規模な損害が生じるかを明らかにしました。
リクエストスマグリング攻撃はサーバがHTTPリクエストのさまざまな側面の異常をセキュアに処理できないことを悪用します。HRSの例は、リクエスト内のCR(キャリッジリターン)およびLF(ラインフィード)文字の標準的ではない使用方法、またはContent-Length、Transfer-Encodingなどの標準ヘッダの悪意のある使用です。この基本的な脆弱性は、XSS(クロスサイトスクリプティング)攻撃、権限情報への未認証のアクセス、およびキャッシュポイズニングにも悪用される可能性があります。
この続きは以下をご覧ください
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
