IT総合情報ポータル「ITmedia」 | ITとビジネスのニュース専門サイト「ITmedia News」 | 企業のためのIT情報サイト「ITmedia エンタープライズ」 | IT製品導入支援サイト「TechTargetジャパン」 | 経営者とCIOのコミュニティー「ITmedia エグゼクティブ」 | PCとMacの専門サイト「ITmedia +D PC USER」 | 携帯、スマートフォンの専門サイト「ITmedia +D Mobile」 | 電子書籍の専門サイト「ITmedia eBook USER」 | デジカメの専門サイト「ITmedia デジカメプラス」 | AV機器の専門サイト「ITmedia +D LifeStyle」 | 旬なモノネタ「ITmedia ガジェット」 | ニコ生、Ustreamの動画番組表「ライブガイド」 | ビジネスブログ・メディア「ITmedia オルタナティブ・ブログ」 | ちょっと気になるネットの話題「ねとらぼ」

6月初旬にwatchfireよりHTTP REQUEST SMUGGLING(HTTPリクエスト・スマグリング)というWebサーバとキャッシュサーバやファイアウォールなどの中間サーバの組み合わせに対する攻撃手法のWhite Paperが公開されています。中間サーバとWebサーバのHTTPプロトコルの実装の差分を利用し、ヘッダー内に以下のような細工を行ったHTTPリクエストを送ることで、キャッシュ汚染や、ファイアウォールの回避、クロスサイトスクリプティングなどが可能になるようです。

1 2つの異なる値を持つContent-Lengthヘッダー
2 Content-Lengthを指定したGETリクエスト
3 IIS5.0に対する48KB以上のPOSTリクエスト

プロトコル実装の差分を用いた攻撃手法自体はIDS回避などでこれまでも利用されていましたが、キャッシュ汚染やセッションハイジャックを狙う攻撃手法としては目新しいものと思われます。White Paperによればこういった攻撃を回避するにはSSL通信のみを許可する、リクエスト毎にセッションを終了する、ApatcheなどHTTPのパーシングが厳格なサーバを利用することなどが有効とされています。

(参考)
HTTP REQUEST SMUGGLING(Watchfire, PDF)

keiji
2005/07/11 2:55:31
Comment(0)
trackback(0)

Special

- PR -
最新の投稿
コメント

コメントを投稿する
メールアドレス(必須):
URL:
コメント:
トラックバック

http://app.blogs.itmedia.co.jp/t/trackback/77444/2795777

トラックバック・ポリシー

» このブログのTOP

» オルタナティブ・ブログTOP

プロフィール

武田 圭史

武田 圭史

慶應義塾大学
環境情報学部 教授

詳しいプロフィール

最近のトラックバック
カレンダー
2012年1月
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
カテゴリー
エンタープライズ・ピックアップ

news094.gif ストレス社会との付き合い方
政府がメンタルヘルス検査の義務化を検討しています。しかしうつになった後だけではなく、なる前の予防も大切なのではないでしょうか。(5/24)

news094.gif 「思いやり経営」のススメ
産学・NPO連携の民間団体が先頃、「思いやり経営」という観点で評価した指標や企業ランキングを発表した。企業のマネジメント力を知る手立てとして注目されそうだ。(5/24)

news094.gif テレワークが労働者のマインドを変える
テレワークが普及すると、労働者の評価は従来の「時間×生産性」から「成果」へと変化する。時間や場所を自分の裁量でコントロールできる変わりに、成果を最大化するために労働をマネジメントする能力とマインドが労働者には必要になる。(5/23)

news094.gif 求む、クックパッド男子
高身長も高学歴も高収入もいらない。私が男性に求めるのは「料理の腕」だけです。(5/18)

news094.gif 37歳の常識――我々は一生学び続ける
学び続けなければ衰退するのみだ。(5/18)

オルタナティブ・ブログは、専門スタッフにより、企画・構成されています。入力頂いた内容は、アイティメディアの他、オルタナティブ・ブログ、及び本記事執筆会社に提供されます。

Special

- PR -
サイトマップ | 利用規約 | プライバシーポリシー | 広告案内 | お問い合わせ