About: HTTP response splitting

Property	Value
dbo:abstract	HTTP response splitting je v informatice druh zranitelnosti webové aplikace spočívající v nesprávné kontrole vstupů od uživatele. Cílem útočníka je předat webové aplikaci takové vstupy, aby došlo k rozdělení původní odpovědi serveru na více odpovědí, které může následně využít k vykonání dalších útoků (např. Cross-User Defacement, Cache poisoning, Cross-site scripting či ). (cs) HTTP Response Splitting (dt.: Aufteilung der HTTP-Antwort) ist eine Sicherheitslücke, die zur Durchführung von Cross-Site-Scripting-Attacken, (Cross-User-)Defacements, Web cache poisoning und ähnlichen Exploits verwendet werden kann. (de) La Separación de respuesta HTTP es una vulnerabilidad de una aplicación web que resulta cuando fracasa la limpieza de valores de entrada por parte de la aplicación o de su ambiente. Puede usarse para realizar ataques cross-site scripting, cross-user defacement, envenanimiento del cache web y otros exploits. El ataque consiste en lograr que el servidor imprima una secuencia retorno de carro (CR, ASCII 0x0D) y nueva línea (LF, ASCII 0x0A) seguida de contenido suministrado por el atacante en la cabecera de su respuesta, típicamente incluyéndolos en los campos de entrada enviados a la aplicación. Por el estándar HTTP (RFC 2616), dos encabezados se separan por un CRLF y los encabezados se separan del cuerpo de la respuesta mediante dos CRLFs. Por esto, si se fracasa en eliminar los CRs y LFs se permitirá al atacante establecer encabezados arbitrarios, tomar el control del cuerpo o de la terminación de la respuesta en dos o más repuestas separadas --a esto se debe el nombre de la vulnerabilidad. (es) HTTP response splitting is a form of web application vulnerability, resulting from the failure of the application or its environment to properly sanitize input values. It can be used to perform cross-site scripting attacks, cross-user defacement, web cache poisoning, and similar exploits. The attack consists of making the server print a carriage return (CR, ASCII 0x0D) line feed (LF, ASCII 0x0A) sequence followed by content supplied by the attacker in the header section of its response, typically by including them in input fields sent to the application. Per the HTTP standard (RFC 2616), headers are separated by one CRLF and the response's headers are separated from its body by two. Therefore, the failure to remove CRs and LFs allows the attacker to set arbitrary headers, take control of the body, or break the response into two or more separate responses—hence the name. (en) La séparation de réponse HTTP est une forme de vulnérabilité pour les applications web, qui résulte de l'échec de l'application ou de son environnement à purifier les valeurs d'entrée. Elle peut être utilisée pour réaliser une attaque de cross-site scripting. L'attaque consiste à ce que le serveur ajoute une séquence composée d'un retour chariot (Carriage Return CR, ASCII 0x0D) et d'une fin de ligne (Line Feed LF, ASCII 0x0A) suivie du contenu fourni par l'attaquant dans les en-têtes de la réponse HTTP. D'après le standard HTTP (RFC 2616), les en-têtes sont séparés par une séquence CRLF, et les en-têtes sont séparés du corps par deux de ces séquences. Ainsi si on ne supprime pas les CR ni les LF alors un attaquant peut déterminer les en-têtes de façon arbitraire, prendre le contrôle du corps, ou même séparer la réponse en deux réponses distinctes ou plus — d'où le nom de la technique. (fr)
dbo:wikiPageExternalLink	https://dl.packetstormsecurity.net/papers/general/whitepaper_httpresponse.pdf https://www.netsparker.com/web-vulnerability-scanner/vulnerability-security-checks-index/http-header-injection/ http://www.webappsec.org/projects/threat/classes/http_response_splitting.shtml http://cwe.mitre.org/data/definitions/113.html https://owasp.org/www-community/attacks/HTTP_Response_Splitting https://owasp.org/www-community/vulnerabilities/CRLF_Injection http://wapiti.sf.net https://lwn.net/Articles/303445/
dbo:wikiPageID	2441361 (xsd:integer)
dbo:wikiPageLength	2827 (xsd:nonNegativeInteger)
dbo:wikiPageRevisionID	1008816944 (xsd:integer)
dbo:wikiPageWikiLink	dbr:Hypertext_Transfer_Protocol dbr:Percent-encoding dbr:Regular_expression dbr:Vulnerability_(computing) dbr:Cross-site_scripting dbr:Line_feed dbr:Cache_poisoning dbr:Type_conversion dbr:Web_application dbr:ASCII dbr:PHP dbc:Hypertext_Transfer_Protocol_headers dbc:Web_security_exploits dbr:Integer dbr:Carriage_return dbr:Exploit_(computer_security) dbr:List_of_HTTP_headers
dbp:wikiPageUsesTemplate	dbt:HTTP dbt:Mono dbt:Web-stub
dcterms:subject	dbc:Hypertext_Transfer_Protocol_headers dbc:Web_security_exploits
gold:hypernym	dbr:Form
rdf:type	yago:WikicatComputerSecurityExploits yago:WikicatWebSecurityExploits yago:Abstraction100002137 yago:Accomplishment100035189 yago:Act100030358 yago:Action100037396 yago:Communication100033020 yago:Event100029378 yago:Feat100036762 yago:Heading106343971 yago:Line107012534 yago:Matter106365467 yago:PsychologicalFeature100023100 yago:WikicatHypertextTransferProtocolHeaders yago:Writing106362953 yago:WrittenCommunication106349220 yago:YagoPermanentlyLocatedEntity yago:Text106387980
rdfs:comment	HTTP response splitting je v informatice druh zranitelnosti webové aplikace spočívající v nesprávné kontrole vstupů od uživatele. Cílem útočníka je předat webové aplikaci takové vstupy, aby došlo k rozdělení původní odpovědi serveru na více odpovědí, které může následně využít k vykonání dalších útoků (např. Cross-User Defacement, Cache poisoning, Cross-site scripting či ). (cs) HTTP Response Splitting (dt.: Aufteilung der HTTP-Antwort) ist eine Sicherheitslücke, die zur Durchführung von Cross-Site-Scripting-Attacken, (Cross-User-)Defacements, Web cache poisoning und ähnlichen Exploits verwendet werden kann. (de) HTTP response splitting is a form of web application vulnerability, resulting from the failure of the application or its environment to properly sanitize input values. It can be used to perform cross-site scripting attacks, cross-user defacement, web cache poisoning, and similar exploits. (en) La Separación de respuesta HTTP es una vulnerabilidad de una aplicación web que resulta cuando fracasa la limpieza de valores de entrada por parte de la aplicación o de su ambiente. Puede usarse para realizar ataques cross-site scripting, cross-user defacement, envenanimiento del cache web y otros exploits. (es) La séparation de réponse HTTP est une forme de vulnérabilité pour les applications web, qui résulte de l'échec de l'application ou de son environnement à purifier les valeurs d'entrée. Elle peut être utilisée pour réaliser une attaque de cross-site scripting. (fr)
rdfs:label	HTTP response splitting (cs) HTTP Response Splitting (de) Separación de respuesta HTTP (es) Séparation de réponse HTTP (fr) HTTP response splitting (en)
owl:sameAs	freebase:HTTP response splitting yago-res:HTTP response splitting wikidata:HTTP response splitting dbpedia-cs:HTTP response splitting dbpedia-de:HTTP response splitting dbpedia-es:HTTP response splitting dbpedia-fr:HTTP response splitting https://global.dbpedia.org/id/4pQDd
prov:wasDerivedFrom	wikipedia-en:HTTP_response_splitting?oldid=1008816944&ns=0
foaf:isPrimaryTopicOf	wikipedia-en:HTTP_response_splitting
is dbo:wikiPageRedirects of	dbr:HTTP_Response_splitting dbr:Http_response_splitting dbr:CRLF_attack
is dbo:wikiPageWikiLink of	dbr:HTTP_Response_splitting dbr:Vulnerability_(computing) dbr:Cross-site_request_forgery dbr:Cross-site_scripting dbr:Http_response_splitting dbr:HTTP_header_injection dbr:HTTP_parameter_pollution dbr:CRLF_attack
is foaf:primaryTopic of	wikipedia-en:HTTP_response_splitting