HTTP Response Splitting
Anhand konkreter Web-Server-Beispiele zeigt Klein, wie solche Angriffe funktionieren.
Mit der Angriffstechnik "HTTP Response Splitting" beschäftigt sich Amit Klein in seinem Paper "Divide & Conquer" anhand konkreter Beispiele. Angreifer nutzen dabei die fehlerhafte Filterung in Webservern für Cross-Site-Scripting, Web-Cache- und Browser-Cache-Poisoning aus. Ähnlich wie bei herkömmlichen XSS-Attacken muss ein Opfer mit seinem Browser auch eine manipulierte URL aufrufen. Im Unterschied zu XSS wird aber bei Response Splitting kein Scriptcode im Browser ausgeführt, stattdessen übernimmt der Server Benutzerparameter aus der URL und baut sie in seine HTTP-Antworten an den Client ein.
Amit Klein: Divide & Conquer, HTTP Response Splitting (ju)
