IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第7章 エコーバック対策:HTTPレスポンスによるキャッシュ偽造攻撃対策第7章 エコーバック対策 HTTPレスポンスによるキャッシュ偽造攻撃対策 HTTPレスポンスによるキャッシュ偽造を許してしまうWebサーバの挙動 「HTTPレスポンスによるキャッシュ偽造(HTTP response splitting)」は、HTTPレスポンスヘッダの一部分をプログラムから出力するようにしているWebアプリケーションに干渉して偽のHTTPレスポンスを生じさせて、各種のキャッシュ(プロバイダのキャッシュサーバ、組織のプロキシサーバ、Webサイトのリバースプロキシサーバ、ブラウザのキャッシュ等)にそのレスポンスを記録させることによって、ひとりあるいは複数のユーザに悪意のWebページを閲覧させる攻撃である。 このような攻撃を受け入れてしまうのは、Webアプリケーションが入力パラメータの値に基づいてHTTPヘッダの部分も生成している場合である。入力パラメータの値をそのままHTTPヘ
