HTTP 헤더에서 CRLF 시퀀스의 부적절한 중립화
설명
캐리지 리턴/라인 피드(CRLF) 문자를 삽입함으로써, 악의적인 사용자가 HTTP 응답에 임의의 데이터를 주입할 수 있습니다. HTTP 응답을 수정함으로써, 공격자는 시스템의 다른 사용자에 대해 크로스 사이트 스크립팅 또는 캐시 오염 공격을 수행할 수 있습니다.
수정 방법
사용자 입력은 항상 새 행에 대한 유효성 검사 없이 HTTP 헤더 응답을 구성하는 데 사용되어서는 안 됩니다. 여기에는 HTTP 리디렉션을 위해 사용자가 제공한 URL이 포함됩니다.
세부정보
ID | 집계 | CWE | 유형 | 위험 |
---|---|---|---|---|
113.1 | false | 113 | Active | high |