2020-10-29 CRLF Injection 概要 外部からの悪意ある入力でHTTPリクエストを不正に変更してしまう脆弱性 CR(キャリッジリターン)とLF(ラインフィールド)でHTTPリクエストの改行=新しいヘッダの挿入やリクエストボディの偽装が可能 HTTP Request Smuggling →1つのHTTPリクエストを2つに分割する キャッシュポイズニング等へ発展 HTTP Response splitting →単一のHTTPレスポンスを分割 例 ー 対策例 ー 脆弱性が入るパターン ー 関連レポート 以上