728x90
반응형
HTTP 응답 분할
외부 입력값에 개행문자열(↳ = CRLF = \r\n) 포함 여부를 확인하지 않고 HTTP 응답 헤더의 값으로 사용한 경우 발생
→ 여러개의 응답이 만들어져서 사용자에게 전달
→ 분할된 응답 중 본문 영역에 실행 가능한 코드를 삽입하여 전달, 실행
응답헤더의 값으로 사용하는 경우 예
[방어기법]
외부 입력값을 응답 헤더의 값으로 사용하는 경우, 개행문자열을 필터링(제거)하고 사용한다.
728x90
반응형
'보안 > 개발보안' 카테고리의 다른 글
| 적절한 인증없는 중요기능 허용 (0) | 2019.10.01 |
|---|---|
| 보안 기능 결정에 사용되는 부적절한 입력값 (0) | 2019.10.01 |
| 크로스사이트 요청 위조 (0) | 2019.10.01 |
| LDAP 삽입 (0) | 2019.10.01 |
| 신뢰되지 않은 URL 주소로 자동접속 연결 (0) | 2019.10.01 |
댓글