HTTP 헤더의 CRLF 시퀀스 부적절한 무력화

HTTP 헤더에서 CRLF 시퀀스를 부적절하게 처리할 경우 공격자가 임의의 데이터를 HTTP 응답에 삽입할 수 있으며, 이를 통해 XSS 또는 캐시 포이즈닝 공격이 가능합니다.

설명 # 캐리지 리턴 / 라인 피드(CRLF) 문자를 삽입함으로써 악의적인 사용자는 HTTP 응답에 임의의 데이터를 주입할 수 있습니다. HTTP 응답을 조작함으로써 공격자는 시스템의 다른 사용자에 대해 크로스 사이트 스크립팅 또는 캐시 포이즈닝 공격을 수행할 수 있습니다. 해결 방법 # 사용자 입력은 줄 바꿈 문자에 대한 유효성 검사 없이 HTTP 헤더 응답을 구성하는 데 절대 사용되어서는 안 됩니다. 여기에는 HTTP 리다이렉트를 위해 사용자가 제공한 URL도 포함됩니다. 세부 정보 # ID 집계 CWE 유형 위험도 113.1 false 113 Active high 링크 # OWASP CWE