Contrabando de solicitações HTTP - HTTP request smuggling
HTTP |
---|
Métodos de solicitação |
Campos de cabeçalho |
Códigos de status de resposta |
Métodos de controle de segurança de acesso |
Vulnerabilidades de segurança |
O contrabando de solicitações HTTP é uma exploração de segurança no protocolo HTTP que usa inconsistência entre a interpretação de Content-length
e / ou Transfer-encoding
cabeçalhos entre as implementações do servidor HTTP em uma cadeia de servidor proxy HTTP . Foi documentado pela primeira vez em 2005 por Linhart et al., E foi novamente repopularizado pela pesquisa de PortSwigger.
Tipos
CL.TE
Nesse tipo de contrabando de solicitação HTTP, o front end processa a solicitação usando o cabeçalho Content-Length, enquanto o backend processa a solicitação usando o cabeçalho Transfer-Encoding.
TE.CL
Nesse tipo de contrabando de solicitação HTTP, o front end processa a solicitação usando o cabeçalho Transfer-Encoding, enquanto o backend processa a solicitação usando o cabeçalho Content-Length.
Prevenção
HTTP / 2 deve ser usado para conexões de back-end e o servidor web que aceita o mesmo tipo de cabeçalho HTTP deve ser usado.
Referências