HTTP header injection

HTTP header injection

HTTP header injection is a general class of web application security vulnerability which occurs when Hypertext Transfer Protocol (HTTP) headers are dynamically generated based on user input. Header injection in HTTP responses can allow for HTTP response splitting and Cross-site scripting (XSS) attacks. HTTP header injection is a relatively new area for web-based attacks, and has primarily been pioneered by Amit Klein in his work on request/response smuggling/splitting.

ources

* [http://lists.grok.org.uk/pipermail/full-disclosure/2006-February/042358.html HTTP Response Smuggling]
* [http://palisade.plynt.com/issues/2006Sep/http-request-smuggling/ HTTP Request Smuggling]
* [http://www.webappsec.org/lists/websecurity/archive/2008-04/msg00003.html File Download Injection]

Useful Tools

* [http://www.lucid-edge.com HTTP Sniffer and HTTP Analyzer (Proxy and tunnel based)]
* [http://wapiti.sf.net Wapiti Open Source Header, XSS, SQL and LDAP injection scanner]


Wikimedia Foundation. 2010.

Игры ⚽ Нужно сделать НИР?

Look at other dictionaries:

  • Header-Injection — ist eine Klasse von Sicherheitslücken in Webanwendungen, welche auftreten, wenn die Header eines Protokolls dynamisch unter Hinzunahme von unzureichend geprüften Benutzereingaben generiert werden. Header Injection in HTTP kann z. B. zu HTTP… …   Deutsch Wikipedia

  • HTTP-Response-Splitting — (dt.: Aufteilung der HTTP Antwort) ist eine Sicherheitslücke, welche zur Durchführung von Cross Site Scripting Attacken, (Cross User) Defacements, Web cache poisoning und ähnlichen Exploits verwendet werden kann. Inhaltsverzeichnis 1… …   Deutsch Wikipedia

  • HTTP Response Splitting — (dt.: Aufteilung der HTTP Antwort) ist eine Sicherheitslücke, welche zur Durchführung von Cross Site Scripting Attacken, (Cross User) Defacements, Web cache poisoning und ähnlichen Exploits verwendet werden kann. Funktionsweise Um die Attacke… …   Deutsch Wikipedia

  • HTTP response splitting — is a form of web application vulnerability, resulting from the failure of the application or its environment to properly sanitize input values. It can be used to perform cross site scripting attacks, cross user defacement, Web cache poisoning,… …   Wikipedia

  • E-Mail-Injection — E Mail Injektion bezeichnet das Ausnutzen einer Sicherheitslücke in einer Webanwendung, die es einem Angreifer erlaubt, über ein ungeschütztes Kontaktformular ohne Wissen und Einverständnis des Betreibers E Mails zu verschicken. Das… …   Deutsch Wikipedia

  • Fuel injection — Fuel rail connected to the injectors that are mounted just above the intake manifold on a four cylinder engine. Fuel injection …   Wikipedia

  • SQL injection — Внедрение SQL кода (англ. SQL injection) один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL, в зависимости от типа используемой СУБД и условий внедрения,… …   Википедия

  • Cross-site scripting — (XSS) is a type of computer security vulnerability typically found in Web applications that enables attackers to inject client side script into Web pages viewed by other users. A cross site scripting vulnerability may be used by attackers to… …   Wikipedia

  • Cross-Site Scripting — (XSS) bezeichnet das Ausnutzen einer Computersicherheitslücke in Webanwendungen, indem Informationen aus einem Kontext, in dem sie nicht vertrauenswürdig sind, in einen anderen Kontext eingefügt werden, in dem sie als vertrauenswürdig eingestuft… …   Deutsch Wikipedia

  • E-Mail-Injektion — bezeichnet das Ausnutzen einer Sicherheitslücke in einer Webanwendung, die es einem Angreifer erlaubt, über ein ungeschütztes Kontaktformular ohne Wissen und Einverständnis des Betreibers E Mails zu verschicken. Das Hauptinteresse des Angreifers… …   Deutsch Wikipedia

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”