HTTP -anmodningssmugling - HTTP request smuggling
HTTP |
---|
Anmod om metoder |
Overskriftsfelter |
Svarstatuskoder |
Sikkerhedsadgangskontrolmetoder |
Sikkerhedsrisici |
HTTP -anmodningssmugling er en sikkerhedsudnyttelse på HTTP -protokollen, der anvender uoverensstemmelse mellem fortolkning af Content-length
og/eller Transfer-encoding
overskrifter mellem HTTP -serverimplementeringer i en HTTP -proxyserverkæde . Det blev først dokumenteret i 2005 af Linhart et al., Og blev igen repopulariseret af PortSwiggers forskning.
Typer
CL.TE
I denne type HTTP-anmodningssmugling behandler frontend anmodningen ved hjælp af Content-Length header, mens backend behandler anmodningen ved hjælp af Transfer-Encoding header.
TE.CL
I denne type HTTP-anmodningssmugling behandler frontend-anmodningen ved hjælp af overførselskodningshoved, mens backend behandler anmodningen ved hjælp af indholdslængdeoverskrift.
Forebyggelse
HTTP/2 skal bruges til backend -forbindelser, og webserver, der accepterer samme type HTTP -header, skal bruges.
Referencer