HTTP -anmodningssmugling - HTTP request smuggling

HTTP -anmodningssmugling er en sikkerhedsudnyttelseHTTP -protokollen, der anvender uoverensstemmelse mellem fortolkning af Content-lengthog/eller Transfer-encodingoverskrifter mellem HTTP -serverimplementeringer i en HTTP -proxyserverkæde . Det blev først dokumenteret i 2005 af Linhart et al., Og blev igen repopulariseret af PortSwiggers forskning.

Typer

CL.TE

I denne type HTTP-anmodningssmugling behandler frontend anmodningen ved hjælp af Content-Length header, mens backend behandler anmodningen ved hjælp af Transfer-Encoding header.

TE.CL

I denne type HTTP-anmodningssmugling behandler frontend-anmodningen ved hjælp af overførselskodningshoved, mens backend behandler anmodningen ved hjælp af indholdslængdeoverskrift.

Forebyggelse

HTTP/2 skal bruges til backend -forbindelser, og webserver, der accepterer samme type HTTP -header, skal bruges.

Referencer