miauのブログ

はてなダイアリー「miauの避難所」をはてなブログに移行しました

HTTP リクエストの改ざん方法いろいろ

Security

私の会社/部署はいちおうセキュリティに強いことを売りにしているらしく、最近作ってる Web アプリケーションでは某セキュリティ会社による診断(ペネトレーションテスト)を受けることが増えています。

今作ってる Web プリケーションも診断を受けたのですが、今回指摘されたのは「HTTP リクエストを Host: ヘッダなしで送ると Location: に内部 IP アドレスが表示されている」というもの。

この検証を軽くやっておくかー、と思ったら結構いろいろやってしまったのでメモしておきます。ちょっとした HTTP リクエスト改ざんツール比較みたいになってますが、他にもいいやり方があったら教えてくださいませ。

続きを読む