Also known as HTTP injection, CWE-113
web application vulnerability that occurs when HTTP headers are dynamically generated from user input; can allow for HTTP response splitting, session fixation (via Set-Cookie), cross-site scripting, and malicious redirect attacks
La Inyección de encabezado HTTP es una clase general de de aplicaciones web que se produce cuando los encabezados del Protocolo de transferencia de hipertexto (HTTP) se generan dinámicamente en función de la entrada del usuario. La inyección de cabeceras en las respuestas HTTP puede permitir la división de respuestas HTTP (también conocido como ), la a través del encabezado Set-Cookie, cross-site scripting (XSS), y los ataques de redireccionamiento maliciosos a través de la cabecera de ubicación. La inyección de encabezado HTTP es un área relativamente nueva para los , y principalmente ha sido promovida por Amit Klein en su trabajo sobre requerimiento/respuesta contrabando/división. Las vulnerabilidades debido a inyecciones de cabecera HTTP tales como CRLF ya no son factibles debido al hecho de que múltiples solicitudes de cabecera no son posibles.
Abstract from DBpedia / Wikipedia · CC BY-SA
Discovered by embedding cosine similarity (sentence-transformers MiniLM, 384-dim).