Pašování požadavků HTTP - HTTP request smuggling

Pašování požadavků HTTP je bezpečnostní exploit na HTTP protokol, který používá nekonzistenci mezi interpretací Délka obsahu a / nebo Kódování přenosu záhlaví mezi implementacemi serveru HTTP v HTTP proxy server řetěz.^[1]^[2] Poprvé byl dokumentován v roce 2005 a znovu byl repopularizován výzkumem PortSwigger.^[3]

Typy

CL.TE

V tomto typu pašování požadavků HTTP front-end zpracovává požadavek pomocí záhlaví Content-Length, zatímco backend zpracovává požadavek pomocí záhlaví Transfer-Encoding.^[3]

TE.CL

V tomto typu pašování požadavků HTTP front-end zpracovává požadavek pomocí záhlaví Transfer-Encoding, zatímco backend zpracovává požadavek pomocí záhlaví Content-Length.^[3]

Prevence

Pro backendová připojení by měl být použit HTTP / 2 a měl by být použit webový server přijímající stejný typ hlavičky HTTP. ^[3]

Reference

^ "CWE - CWE-444: Nekonzistentní interpretace požadavků HTTP ('Pašování požadavků HTTP') (4.0)". cwe.mitre.org. Citováno 2020-03-13.
^ „Co je pašování požadavků HTTP? Výukový program a příklady | Akademie zabezpečení webu“. portswigger.net. Citováno 2020-03-13.
^ ^A ^b ^C ^d „Pašování požadavků HTTP“.

Tento zabezpečení počítače článek je a pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.

Tento Celosvětová Síť –Příbuzný článek je a pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.

[1] "CWE - CWE-444: Nekonzistentní interpretace požadavků HTTP ('Pašování požadavků HTTP') (4.0)". cwe.mitre.org. Citováno 2020-03-13.

[2] „Co je pašování požadavků HTTP? Výukový program a příklady | Akademie zabezpečení webu“. portswigger.net. Citováno 2020-03-13.

[portswigger1-3] A ^b ^C ^d „Pašování požadavků HTTP“.

[1]

[2]

[3]