IT総合情報ポータル「ITmedia」 | ITとビジネスのニュース専門サイト「ITmedia News」 | 企業のためのIT情報サイト「ITmedia エンタープライズ」 | IT製品導入支援サイト「TechTargetジャパン」 | 経営者とCIOのコミュニティー「ITmedia エグゼクティブ」 | PCとMacの専門サイト「ITmedia ＋D PC USER」 | 携帯、スマートフォンの専門サイト「ITmedia ＋D Mobile」 | 電子書籍の専門サイト「ITmedia eBook USER」 | デジカメの専門サイト「ITmedia デジカメプラス」 | AV機器の専門サイト「ITmedia ＋D LifeStyle」 | 旬なモノネタ「ITmedia ガジェット」 | ニコ生、Ustreamの動画番組表「ライブガイド」 | ビジネスブログ・メディア「ITmedia オルタナティブ・ブログ」 | ちょっと気になるネットの話題「ねとらぼ」

武田圭史のセキュアーで行こう！：ITmediaオルタナティブ・ブログ (RSS) 武田圭史のセキュアーで行こう！

これだけは知っておきたい今週のセキュリティ動向と分析

【攻撃手法】HTTP REQUEST SMUGGLING

2005/07/11

６月初旬にwatchfireよりHTTP REQUEST SMUGGLING（ＨＴＴＰリクエスト・スマグリング）というＷｅｂサーバとキャッシュサーバやファイアウォールなどの中間サーバの組み合わせに対する攻撃手法のWhite Paperが公開されています。中間サーバとＷｅｂサーバのHTTPプロトコルの実装の差分を利用し、ヘッダー内に以下のような細工を行ったHTTPリクエストを送ることで、キャッシュ汚染や、ファイアウォールの回避、クロスサイトスクリプティングなどが可能になるようです。

１　2つの異なる値を持つContent-Lengthヘッダー
２　Content-Lengthを指定したGETリクエスト
３　IIS5.0に対する48KB以上のPOSTリクエスト

プロトコル実装の差分を用いた攻撃手法自体はＩＤＳ回避などでこれまでも利用されていましたが、キャッシュ汚染やセッションハイジャックを狙う攻撃手法としては目新しいものと思われます。White Paperによればこういった攻撃を回避するにはSSL通信のみを許可する、リクエスト毎にセッションを終了する、ApatcheなどHTTPのパーシングが厳格なサーバを利用することなどが有効とされています。

（参考）
HTTP REQUEST SMUGGLING(Watchfire, PDF)

keiji

2005/07/11 2:55:31

Special

- PR -

最新の投稿

コメント

コメントを投稿する

トラックバック

http://app.blogs.itmedia.co.jp/t/trackback/77444/2795777

トラックバック・ポリシー

» このブログのTOP

» オルタナティブ・ブログTOP

プロフィール

武田　圭史

慶應義塾大学
環境情報学部　教授

詳しいプロフィール

最近のエントリー

最近のコメント

アキオ » 【サイト】警察庁がインターネット困りごと相談窓口開設
- at 2005/06/20 2:19:50
kuma » 【５位】東京都青少年条例改正案再提出
- at 2010/12/05 23:24:51
ウイルス対策 » 【４位】偽ウイルス対策ソフトによる被害拡大
- at 2010/06/06 23:43:35
yutakarlson » 【今週の気になる情報, 05/10-05/16】
- at 2010/05/16 23:57:05
keiji » ◆今週のセキュリティ・ニュースランキング(1/14-2/20)
- at 2008/01/20 21:46:04
mohno » ◆今週のセキュリティ・ニュースランキング(1/14-2/20)
- at 2008/01/20 21:46:04
mohno » 【５位】VVindows Updateサイト出現
- at 2007/07/29 22:44:56
keiji » 【５位】VVindows Updateサイト出現
- at 2007/07/29 22:44:56
mohno » 【５位】VVindows Updateサイト出現
- at 2007/07/29 22:44:56
カーナビ男 » 【６位】オランダにてカーナビへのウィルス混入発生
- at 2007/02/04 19:29:59

最近のトラックバック

デジタルがリアルに勝れば、旅客機のエグゼクティブシートが空く？ (ニュータイプになろう！)
弥生会計に関する最新情報【ＩＴ長者を目指す自営業者のブログ】 (ＩＴ長者を目指す自営業者のブログ)
正規サイトにも用心を (ぱふぅ家のホームページ)
iPhoneの日本発売はドコモから、それともソフトバンクから？ (iPhone　日本が変わる？)
国政選で電子投票 (武蔵小山で働く社長のココだけの話（仮）)
ソニーの思惑はどこに (やまねこのあしあと)
Lhacaに未パッチの脆弱性 (やまねこのあしあと)
ファイル交換ソフト利用で即解雇 (やまねこのあしあと)
コンピュータのセキュリティ対策密かに潜むスパイウェア (コンピュータのセキュリティ対策密かに潜むスパイウェア)
イエローキャブをハイブリッド車に (株の話と日々のニュース)

カレンダー

Special オルタナトーク

3月11日

カテゴリー

エンタープライズ・ピックアップ

中堅クラウドサービスプロバイダーの決意
Google Appsの導入支援などを手がけるサイオステクノロジーが先頃、クラウドビジネスの現状について記者説明会を開いた。興味深い話だったので、ぜひ紹介しておきたい。（3/5）

スマホかスマフォか、それが問題だ
約250人のブロガーがITにまつわる時事情報などを日々、発信しているビジネス・ブログメディア「ITmedia オルタナティブ・ブログ」。その中から今回は「スマートフォン」「怒り」「震災から1年」などを紹介しよう。（3/3）

音楽を介して出会いやビジネスが生まれてほしい、これこそがクラブカルチャー！
オフラインでSNSのような場を作りたい――Webマガジンやラジオ番組、DJイベントなどを主催するカネコヒデシさんは、楽しい“場”を演出するコミュニティーリーダーだ。（2/28）

最後によかったなーと思える人生を
オーストラリアの永住権も取った。会社も興した。結婚も（離婚も）した。そして今、日本のためにやりたいことが村上福之さんにはある。（2/21）

読者イベント「ノベルティブログライブ」　参加申し込み受付中！
IT企業の楽しいノベルティをご紹介する「ノベルティブログ」の4代目ゲッター「おのだおなが」が、あなたの自慢のノベルティを紹介します。2時間でいくつのノベルティを紹介できるか、乞うご期待！（2/16）

オルタナティブ・ブログは、専門スタッフにより、企画・構成されています。入力頂いた内容は、アイティメディアの他、オルタナティブ・ブログ、及び本記事執筆会社に提供されます。

オルタナティブ・ブログ GUIDE

アイティメディアからのお知らせ

Special

- PR -

サイトマップ | 利用規約 | プライバシーポリシー | 広告案内 | お問い合わせ

企業IT

テクノロジー

エンジニアリング

キャリア

ITmediaはアイティメディア株式会社の登録商標です。

運営会社 | プレスリリース | IR情報 | 採用情報 | ぱぶログ | アイティメディアID | RSS | Twitter | Facebook | スマートフォンアプリ