La Inyección de encabezado HTTP es una clase general de vulnerabilidad de seguridad de aplicaciones web que se produce cuando los encabezados del Protocolo de transferencia de hipertexto (HTTP) se generan dinámicamente en función de la entrada del usuario. La inyección de cabeceras en las respuestas HTTP puede permitir la división de respuestas HTTP (también conocido como HTTP response splitting), la fijación de sesión a través del encabezado Set-Cookie, cross-site scripting (XSS), y los ataques de redireccionamiento maliciosos a través de la cabecera de ubicación.[1][2] La inyección de encabezado HTTP es un área relativamente nueva para los ataques basados en la web, y principalmente ha sido promovida por Amit Klein en su trabajo sobre requerimiento/respuesta contrabando/división.[3] Las vulnerabilidades debido a inyecciones de cabecera HTTP tales como CRLF ya no son factibles debido al hecho de que múltiples solicitudes de cabecera no son posibles.
Referencias
- ↑ SEC Consult Vulnerability Lab (17 de abril de 2013). «SEC Consult SA-20130417-2 :: HTTP header injection/Cache poisoning in Oracle WebCenter Sites Satellite Server». Bugtraq mailing list archives (en inglés). Consultado el 7 de enero de 2015.
- ↑ «Rapid7 Advisory R7-0026: HTTP Header Injection Vulnerabilities in the Flash Player Plugin» (en inglés). 17 de octubre de 2006. Consultado el 7 de enero de 2015.
- ↑ Evans, Arian (7 de abril de 2008). «[WEB SECURITY] Attack Technique: File Download Injection». Lista de correos Websecurity (en inglés). Archivado desde el original el 14 de agosto de 2012. Consultado el 7 de enero de 2015.
Enlaces externos