CVE-2018-17082に学ぶHTTP Request Smuggling(HRS)入門
第24弾
CVE-2018-17082に学ぶHTTP Request Smuggling(HRS)入門
難易度:★★★☆☆
PHPの脆弱性CVE-2018-17082は「XSS」として報告されていますが、実際にはHTTP Request Smuggling(HRS)として解釈するべきです。
脆弱性の原因はContent-LengthとTransfer-Encodingの両方を含む場合、RFCの定義ではContent-Lengthを無視すべきところ、PHP側がRFC通りの実装になっていなかったことにあります。
この動画では、Chunked EncodingとHRSの基礎的な説明を行います。
■この動画で伝えたいこと■
・CVE-2018-17082の概要
・Chunked Encodingとは何か
・HTTP Request Smuggling(HRS)入門
動画:CVE-2018-17082に学ぶHTTP Request Smuggling(HRS)入門
関連動画
Mail magazine
弊社徳丸の登壇情報はもちろん、セキュアなシステム開発を行うためのポイントや、
最近話題の脆弱性などについて配信しております。