[ System.Web.Configuration.HttpRuntimeSection.EnableHeaderChecking](http://msdn.microsoft.com/en-us/library/system.web.configuration.httpruntimesection.enableheaderchecking (VS.85).aspx)を(デフォルト)に設定してtrue、Httpを完全に防止するだけで十分ですか?応答分割などのヘッダーインジェクション攻撃?
ホワイトボックス侵入テストツール(fortify)がHttpResponse.RedirectCookieに関する悪用可能なhttpヘッダーインジェクションの問題を報告しているので質問していますが、攻撃を正常に実行する方法が見つかりません。(編集:..そしてEnableHeaderCheckingがオンになっています..)
私はこれをしばらく検討しており、EnableHeaderCheckingを に設定trueすることで、実際には HTTP ヘッダー インジェクション攻撃を防ぐのに十分であるという結論を導き出しました。
「反映された」ASP.NETコードを見ると、次のことがわかりました。
HttpResponseHeader(内部)のインスタンスを作成しますHttpResponseHeader.MaybeEncodeHeader(の場合IIS7WorkerRequests)HttpResponseHeaderインスタンスは、RedirectLocationやContentTypeなどの既知のヘッダーが送信される前に作成されます ( HttpResponse.GenerateResponseHeaders)HttpResponseHeaderチェックし、設定されている場合は呼び出しますHttpResponseHeader.MaybeEncodeHeadertrueHttpResponseHeader.MaybeEncodeHeaderHTTPヘッダーインジェクション攻撃を不可能にする改行文字を正しくエンコードしますこれは、私がどのようにテストしたかを大まかに示すためのスニペットです。
// simple http response splitting attack
Response.AddHeader("foo", "bar\n" +
// injected http response, bad if user provided
"HTTP/1.1 200 OK\n" +
"Content-Length: 19\n" +
"Content-Type: text/html\n\n" +
"<html>danger</html>"
);
上記は、 EnableHeaderCheckingを明示的にオフにした場合にのみ機能します。
<httpRuntime enableHeaderChecking="false"/>Fortify は単純に構成を考慮しないため ( EnableHeaderChecking を明示的に設定しても効果がありません)、常にこの種の問題を報告します。
Josef、HttpResponse.AppendHeader() は、信頼できないデータが HTTP 応答ヘッダーに入る唯一の場所ではありません。
データに改行 (または改行として解釈されるもの) が含まれている場合、最終的に Cookie または HTTP リダイレクトになる攻撃者からのデータは、新しいヘッダーを書き込むことができます。
一般に、じっと座ってエクスプロイトを解決しようとするよりも、データを検証する方が時間を有効に活用できます。おそらく、ハッカーはあなたや私よりも優れているでしょう。