참고자료
http://blog.habonyphp.com/entry/php-HTTP-%ED%97%A4%EB%8D%94-%EC%9D%B8%EC%A0%9D%EC%85%98
헤더 인젝션은 공격자가 헤더에 개행문자를 삽입하여 헤더를 추가하여 공격하는 수동적 공격 방식이다.
이 공격이 허용되는 경우 쿠키를 임의대로 생성하거나 임의로 URL을 리다이렉트 시킬 수 있다.
http://example.com/?id=1001
위와 같은 코드가 있다면 아래 코드로 고쳐서 공격한다.
http://example.com/?id=1001%0d%0a%0d%0aSet-cookie+SID=a123456789
공격자가 입력한 %0d%0a는 \r\n을 의미하므로 결과적으로 새로운 헤더가 만들어지게 된다.
http://example.com/?id=101%0D%0A%0D%0A<html><body><h2>Hello Habony!!</h2></body></html>
이 공격에 의해 유저에게 가짜 웹페이지를 표시하여 개인 정보를 입력받거나 크로스 사이트 스크립팅과 같은 공격을 바게 된다.
'웹 해킹 > 웹 해킹 개념' 카테고리의 다른 글
| Union SQL Injection (0) | 2018.03.05 |
|---|---|
| 웹쉘 Web Shell, PHP File Upload 취약점 (0) | 2018.02.12 |
| XSS 연습 (0) | 2018.02.10 |
| XSS 크로스 사이트 스크립팅 (0) | 2018.02.10 |
| 세션변조 (0) | 2018.02.09 |
