Контрабанда HTTP-запросов - HTTP request smuggling
HTTP |
---|
Способы запроса |
Поля заголовка |
Коды состояния ответа |
Методы управления безопасным доступом |
Уязвимости безопасности |
Запрос HTTP контрабанду является безопасность эксплуатации на HTTP - протокола , который использует несоответствие между интерпретацией Content-length
и / или Transfer-encoding
заголовков между HTTP реализаций сервера в HTTP - прокси - сервера сети. Впервые это было задокументировано в 2005 году Линхартом и др., И снова стало популярным благодаря исследованиям Порт-Свиггера.
Типы
CL.TE
В этом типе контрабанды HTTP-запросов внешняя часть обрабатывает запрос с использованием заголовка Content-Length, а внутренняя часть обрабатывает запрос с использованием заголовка Transfer-Encoding.
TE.CL
В этом типе контрабанды HTTP-запросов интерфейсная часть обрабатывает запрос с использованием заголовка Transfer-Encoding, а внутренняя часть обрабатывает запрос с использованием заголовка Content-Length.
Профилактика
HTTP / 2 следует использовать для внутренних подключений, а веб-сервер, принимающий тот же тип заголовка HTTP, должен использоваться.
использованная литература