HTTP Request Smuggling / HTTP Desync Attack
Šta je
Ova ranjivost se javlja kada desinhronizacija između front-end proxy-ja i back-end servera omogućava napadaču da pošalje HTTP zahtev koji će biti tumačen kao jedan zahtev od strane front-end proxy-ja (balansiranje opterećenja/reverse-proxy) i kao 2 zahteva od strane back-end servera. Ovo omogućava korisniku da modifikuje sledeći zahtev koji stiže do back-end servera nakon njega.
Teorija
Ako se poruka primi sa i Transfer-Encoding zaglavljem i Content-Length zaglavljem, ovaj drugi MORA biti ignorisan.
Content-Length
Entitet zaglavlje Content-Length pokazuje veličinu entitet-tela, u bajtovima, poslatom primaocu.
Transfer-Encoding: chunked
Transfer-Encoding zaglavlje specificira oblik enkodiranja koji se koristi za bezbedan prenos tela opterećenja korisniku. Chunked znači da se veliki podaci šalju u seriji delova.
Realnost
Front-End (balansiranje opterećenja / Reverse Proxy) obrađuje content-length ili transfer-encoding zaglavlje, a Back-end server obrađuje drugo što izaziva desinhronizaciju između ova 2 sistema. Ovo može biti veoma kritično jer napadač može poslati jedan zahtev reverse proxy-ju koji će biti tumačen od strane back-end servera kao 2 različita zahteva. Opasnost ove tehnike leži u tome što će back-end server tumačiti ubaceni drugi zahtev kao da je došao od sledećeg klijenta i pravi zahtev tog klijenta će biti deo ubacenog zahteva.
Posebnosti
Zapamtite da u HTTP novi karakter nove linije čine 2 bajta:
Content-Length: Ovo zaglavlje koristi decimalni broj da pokaže broj bajtova tela zahteva. Telo se očekuje da se završi poslednjim karakterom, nova linija nije potrebna na kraju zahteva.
Transfer-Encoding: Ovo zaglavlje koristi u telu heksadecimalni broj da pokaže broj bajtova sledećeg chunk-a. Chunk mora završiti sa novom linijom ali ova nova linija nije uračunata u indikator dužine. Ovaj metod prenosa mora završiti sa chunk-om veličine 0 praćenim sa 2 nove linije:
0Connection: Na osnovu mog iskustva preporučuje se koristiti
Connection: keep-alivena prvom zahtevu za Request Smuggling.
Osnovni Primeri
Kada pokušavate da iskoristite ovo sa Burp Suite onemogućite Update Content-Length i Normalize HTTP/1 line endings u repeater-u jer neki uređaji zloupotrebljavaju nove linije, povratne znakove i neispravne dužine sadržaja.
Napadi HTTP zahtevom za desinhronizaciju se kreiraju slanjem nejasnih zahteva koji iskorišćavaju razlike u tome kako front-end i back-end serveri tumače Content-Length (CL) i Transfer-Encoding (TE) zaglavlja. Ovi napadi mogu se manifestovati u različitim oblicima, pretežno kao CL.TE, TE.CL i TE.TE. Svaki tip predstavlja jedinstvenu kombinaciju prioriteta koje front-end i back-end serveri daju ovim zaglavlja. Ranjivosti nastaju kada serveri obrađuju isti zahtev na različite načine, dovodeći do neočekivanih i potencijalno zlonamernih ishoda.
Osnovni Primeri Tipova Ranjivosti
CL.TE Ranjivost (Content-Length korišćen od strane Front-End, Transfer-Encoding korišćen od strane Back-End)
Front-End (CL): Obradjuje zahtev na osnovu
Content-Lengthzaglavlja.Back-End (TE): Obradjuje zahtev na osnovu
Transfer-Encodingzaglavlja.Scenario Napada:
Napadač šalje zahtev gde vrednost
Content-Lengthzaglavlja ne odgovara stvarnoj dužini sadržaja.Front-end server prosleđuje ceo zahtev back-end serveru, na osnovu vrednosti
Content-Length.Back-end server obrađuje zahtev kao chunked zbog
Transfer-Encoding: chunkedzaglavlja, tumačeći preostale podatke kao odvojen, naknadni zahtev.Primer:
TE.CL Ranjivost (Transfer-Encoding korišćen od strane Front-End, Content-Length korišćen od strane Back-End)
Front-End (TE): Obradjuje zahtev na osnovu
Transfer-Encodingzaglavlja.Back-End (CL): Obradjuje zahtev na osnovu
Content-Lengthzaglavlja.Scenario Napada:
Napadač šalje chunked zahtev gde se veličina chunk-a (
7b) i stvarna dužina sadržaja (Content-Length: 4) ne poklapaju.Front-end server, poštujući
Transfer-Encoding, prosleđuje ceo zahtev back-end serveru.Back-end server, poštujući
Content-Length, obrađuje samo početni deo zahteva (7bbajtova), ostavljajući ostatak kao deo nenamernog naknadnog zahteva.Primer:
TE.TE Vulnerability (Transfer-Encoding korišćen od strane oba, sa obfuscacijom)
Serveri: Oba podržavaju
Transfer-Encoding, ali jedan može biti prevaren da ga ignoriše putem obfuscacije.Scenario napada:
Napadač šalje zahtev sa obfuskovanim
Transfer-Encodingzaglavljima.Zavisno o tome koji server (prednji ili zadnji) ne uspe da prepozna obfuskaciju, može se iskoristiti CL.TE ili TE.CL ranjivost.
Neobrađeni deo zahteva, viđen od strane jednog od servera, postaje deo narednog zahteva, što dovodi do krijumčarenja.
Primer:
CL.CL Scenario (Content-Length korišćen od strane oba prednji i zadnji deo):
Oba servera obrađuju zahtev isključivo na osnovu zaglavlja
Content-Length.Ovaj scenario obično ne dovodi do krijumčarenja, jer postoji usklađenost u tome kako oba servera tumače dužinu zahteva.
Primer:
CL != 0 Scenario:
Odnosi se na scenarije gde je zaglavlje
Content-Lengthprisutno i ima vrednost različitu od nule, što ukazuje da telo zahteva ima sadržaj.Ključno je za razumevanje i kreiranje napada krijumčarenja, jer utiče na to kako serveri određuju kraj zahteva.
Primer:
Razbijanje veb servera
Ova tehnika je takođe korisna u scenarijima gde je moguće pokvariti veb server dok se čita početni HTTP podaci ali bez zatvaranja konekcije. Na ovaj način, telo HTTP zahteva će biti smatrano narednim HTTP zahtevom.
Na primer, kako je objašnjeno u ovom objašnjenju, u Werkzeug-u je bilo moguće poslati neke Unicode karaktere i to će naterati server da se pokvari. Međutim, ako je HTTP konekcija uspostavljena sa zaglavljem Connection: keep-alive, telo zahteva neće biti pročitano i konekcija će i dalje biti otvorena, tako da će se telo zahteva smatrati narednim HTTP zahtevom.
Forsiranje putem hop-by-hop zaglavlja
Zloupotrebom hop-by-hop zaglavlja možete ukazati proksiju da obriše zaglavlje Content-Length ili Transfer-Encoding tako da je moguće zloupotrebiti HTTP zahtev krijumčarenjem.
Za više informacija o zaglavlja korak-po-korak posetite:
pagehop-by-hop headersPronalaženje Ranjivosti HTTP zahteva za krijumčarenje
Identifikacija ranjivosti HTTP zahteva za krijumčarenje često se može postići korišćenjem tehnika vremena, koje se oslanjaju na posmatranje koliko dugo serveru treba da odgovori na manipulisane zahteve. Ove tehnike su posebno korisne za otkrivanje CL.TE i TE.CL ranjivosti. Pored ovih metoda, postoje i druge strategije i alati koji se mogu koristiti za pronalaženje takvih ranjivosti:
Pronalaženje CL.TE Ranjivosti Korišćenjem Tehnika Vremena
Metod:
Pošaljite zahtev koji će, ako je aplikacija ranjiva, naterati serversku stranu da čeka na dodatne podatke.
Primer:
Posmatranje:
Prednja serverska strana obrađuje zahtev na osnovu
Content-Lengthi prekida poruku prerano.Zadnja serverska strana, očekujući poruku u blokovima, čeka sledeći blok koji nikada ne stiže, uzrokujući kašnjenje.
Indikatori:
Istek vremena ili dugotrajna kašnjenja u odgovoru.
Primanje greške 400 Bad Request od zadnje serverske strane, ponekad sa detaljnim informacijama o serveru.
Pronalaženje TE.CL Ranjivosti Korišćenjem Tehnika Vremena
Metod:
Pošaljite zahtev koji će, ako je aplikacija ranjiva, naterati serversku stranu da čeka na dodatne podatke.
Primer:
Posmatranje:
Prednja serverska strana obrađuje zahtev na osnovu
Transfer-Encodingi prosleđuje celu poruku.Zadnja serverska strana, očekujući poruku na osnovu
Content-Length, čeka na dodatne podatke koji nikada ne stižu, uzrokujući kašnjenje.
Druge Metode za Pronalaženje Ranjivosti
Analiza diferencijalnog odgovora:
Pošaljite blago varijante zahteva i posmatrajte da li se odgovori servera razlikuju na neočekivan način, što ukazuje na neslaganje u parsiranju.
Korišćenje Automatizovanih Alata:
Alati poput Burp Suite-ovog dodatka 'HTTP Request Smuggler' mogu automatski testirati ove ranjivosti slanjem različitih oblika nejasnih zahteva i analiziranjem odgovora.
Testovi varijacije Content-Length:
Pošaljite zahteve sa različitim vrednostima
Content-Lengthkoje nisu usklađene sa stvarnom dužinom sadržaja i posmatrajte kako server obrađuje takve neslaganja.Testovi varijacije Transfer-Encoding:
Pošaljite zahteve sa zamućenim ili neispravnim zaglavljima
Transfer-Encodingi pratite kako prednja i zadnja serverska strana reaguju na takve manipulacije.
Testiranje Ranjivosti HTTP zahteva za krijumčarenje
Nakon potvrde efikasnosti tehnika vremena, ključno je verifikovati da li se klijentski zahtevi mogu manipulisati. Jednostavan metod je pokušati otrovati vaše zahteve, na primer, tako što će zahtev za / rezultirati odgovorom 404. Primeri CL.TE i TE.CL koji su prethodno razmatrani u Osnovnim Primerima pokazuju kako otrovati klijentov zahtev da izazove odgovor 404, iako klijent pokušava pristupiti drugom resursu.
Ključne Razmatranja
Prilikom testiranja ranjivosti zahteva za krijumčarenje mešanjem sa drugim zahtevima, imajte na umu:
Različite Mrežne Veze: "Napadni" i "normalni" zahtevi trebaju biti poslati preko odvojenih mrežnih veza. Korišćenje iste veze za oba ne potvrđuje prisustvo ranjivosti.
Konstantne URL adrese i Parametri: Ciljajte da koristite identične URL adrese i imena parametara za oba zahteva. Moderne aplikacije često rutiraju zahteve ka specifičnim zadnjim serverskim stranama na osnovu URL adresa i parametara. Podudaranje ovih povećava verovatnoću da će oba zahteva biti obrađena od strane istog servera, što je preduslov za uspešan napad.
Vremenski i Trkački Uslovi: "Normalni" zahtev, namenjen otkrivanju mešanja sa "napadnim" zahtevom, takmiči se sa drugim istovremenim zahtevima aplikacije. Stoga, pošaljite "normalni" zahtev odmah nakon "napadnog" zahteva. Zauzete aplikacije mogu zahtevati više pokušaja za potvrdu ranjivosti.
Izazovi Balansiranja Opterećenja: Prednje serverske strane koje deluju kao balanseri opterećenja mogu distribuirati zahteve ka različitim zadnjim sistemima. Ako "napadni" i "normalni" zahtevi završe na različitim sistemima, napad neće uspeti. Ovaj aspekt balansiranja opterećenja može zahtevati više pokušaja za potvrdu ranjivosti.
Neželjeni Uticaj na Korisnike: Ako vaš napad nenamerno utiče na zahtev drugog korisnika (ne "normalni" zahtev koji ste poslali radi detekcije), to ukazuje da je vaš napad uticao na drugog korisnika aplikacije. Kontinuirano testiranje može poremetiti druge korisnike, zahtevajući oprezan pristup.
Zloupotreba HTTP zahteva za krijumčarenje
Obilaženje Bezbednosti Prednje Strane putem HTTP zahteva za krijumčarenje
Ponekad, prednji proksi sprovodi bezbednosne mere, analizirajući dolazne zahteve. Međutim, ove mere mogu biti zaobiđene iskorišćavanjem HTTP zahteva za krijumčarenje, omogućavajući neovlašćen pristup ograničenim krajnjim tačkama. Na primer, pristup /admin može biti zabranjen spolja, pri čemu prednji proksi aktivno blokira takve pokušaje. Ipak, ovaj proksi može propustiti da inspicira ugnežđene zahteve unutar krijumčarenog HTTP zahteva, ostavljajući rupu za zaobilaženje ovih ograničenja.
Razmotrite sledeće primere koji ilustruju kako se HTTP zahtevi za krijumčarenje mogu koristiti za obilaženje kontrola bezbednosti prednje strane, ciljajući specifično putanju /admin koja je obično čuvana od strane prednjeg proksija:
Primer CL.TE
U napadu CL.TE, zaglavlje Content-Length se koristi za početni zahtev, dok ugneždeni zahtev koristi zaglavlje Transfer-Encoding: chunked. Prednji proxy obrađuje početni POST zahtev ali ne pregleda ugneždeni GET /admin zahtev, omogućavajući neovlašćen pristup putanji /admin.
TE.CL Primer
Suprotno tome, u TE.CL napadu, početni POST zahtev koristi Transfer-Encoding: chunked, a naknadni ugnježdeni zahtev se obrađuje na osnovu zaglavlja Content-Length. Slično kao kod CL.TE napada, prednji proxy propušta ugnježdeni GET /admin zahtev, nenamerno omogućavajući pristup ograničenom /admin putanji.
Otkrivanje prepravljanja zahteva na prednjoj strani
Aplikacije često koriste prednji server da modifikuju dolazne zahteve pre prosleđivanja na serversku stranu. Tipična modifikacija uključuje dodavanje zaglavlja, kao što je X-Forwarded-For: <IP klijenta>, kako bi se prosledila IP adresa klijenta serverskoj strani. Razumevanje ovih modifikacija može biti ključno, jer može otkriti načine za zaobilaženje zaštite ili otkrivanje skrivenih informacija ili krajnjih tačaka.
Da biste istražili kako proxy menja zahtev, pronađite POST parametar koji serverska strana vraća u odgovoru. Zatim, kreirajte zahtev, koristeći ovaj parametar na kraju, slično kao u sledećem primeru:
U ovoj strukturi, naknadni delovi zahteva se dodaju nakon search=, koji je parametar prikazan u odgovoru. Ovaj odraz će otkriti zaglavlja naknadnog zahteva.
Važno je uskladiti Content-Length zaglavlje ugnježdenog zahteva sa stvarnom dužinom sadržaja. Počevši od male vrednosti i postepeno je povećavajući je preporučljivo, jer preniska vrednost može skratiti odražene podatke, dok previsoka vrednost može izazvati grešku u zahtevu.
Ova tehnika je takođe primenjiva u kontekstu ranjivosti TE.CL, ali zahtev treba da se završi sa search=\r\n0. Bez obzira na znakove nove linije, vrednosti će se dodati parametru pretrage.
Ovaj metod pretežno služi da se razumeju modifikacije zahteva koje je napravio prednji proxy, suštinski vršeći samostalnu istragu.
Snimanje zahteva drugih korisnika
Moguće je snimiti zahteve sledećeg korisnika dodavanjem određenog zahteva kao vrednosti parametra tokom POST operacije. Evo kako se to može postići:
Dodavanjem sledećeg zahteva kao vrednosti parametra, možete sačuvati zahtev sledećeg klijenta:
U ovom scenariju, parametar komentara je namenjen za čuvanje sadržaja unutar sekcije komentara na javno dostupnoj stranici. Kao rezultat, sadržaj narednog zahteva će se pojaviti kao komentar.
Međutim, ova tehnika ima svoja ograničenja. Generalno, hvata podatke samo do granice parametra korišćene u prokrijumčarenom zahtevu. Za URL-kodirane forme, ova granica je znak &. To znači da će uhvaćeni sadržaj iz zahteva žrtve stati na prvom &, što može biti deo upita.
Dodatno, važno je napomenuti da je ovaj pristup takođe izvodljiv sa ranjivošću TE.CL. U takvim slučajevima, zahtev bi trebalo da se završi sa search=\r\n0. Bez obzira na znakove nove linije, vrednosti će biti dodate parametru pretrage.
Korišćenje HTTP zahteva za prokrijumčarenje radi iskorišćavanja reflektovanog XSS
HTTP zahtev za prokrijumčarenje može se iskoristiti za iskorišćavanje veb stranica koje su ranjive na Reflektovani XSS, nudeći značajne prednosti:
Interakcija sa ciljanim korisnicima nije potrebna.
Omogućava iskorišćavanje XSS u delovima zahteva koji su normalno nedostupni, poput zaglavlja HTTP zahteva.
U scenarijima gde je veb sajt podložan Reflektovanom XSS putem zaglavlja User-Agent, sledeći payload demonstrira kako iskoristiti ovu ranjivost:
Ova payload je strukturirana da iskoristi ranjivost na sledeći način:
Pokretanje
POSTzahteva, navodno tipičnog, sa zaglavljemTransfer-Encoding: chunkedkako bi označili početak smugglinga.Nastavak sa
0, označavajući kraj chunked tela poruke.Zatim se uvodi smuggled
GETzahtev, gde je zaglavljeUser-Agentubačeno sa skriptom,<script>alert(1)</script>, pokrećući XSS kada server obradi ovaj naknadni zahtev.
Manipulacijom User-Agent-a putem smugglinga, payload zaobilazi normalna ograničenja zahteva, iskorišćavajući tako ranjivost Reflected XSS na nekonvencionalan, ali efikasan način.
HTTP/0.9
U slučaju da korisnički sadržaj bude reflektovan u odgovoru sa Content-type kao što je text/plain, sprečavajući izvršenje XSS-a. Ako server podržava HTTP/0.9, možda je moguće zaobići ovo!
Verzija HTTP/0.9 je prethodila verziji 1.0 i koristi samo GET glagole i ne odgovara sa zaglavljima, već samo telom.
U ovom writeup-u, ovo je zloupotrebljeno sa zahtevom za smuggling i ranjivim endpointom koji će odgovoriti sa unosom korisnika kako bi se prokrijumčario zahtev sa HTTP/0.9. Parametar koji će biti reflektovan u odgovoru sadržava lažni HTTP/1.1 odgovor (sa zaglavljima i telom) tako da će odgovor sadržati validan izvršni JS kod sa Content-Type-om text/html.
Iskorišćavanje On-site Preusmerenja sa HTTP Request Smuggling
Aplikacije često preusmeravaju sa jednog URL-a na drugi koristeći ime hosta iz Host zaglavlja u URL-u preusmerenja. Ovo je uobičajeno kod web servera poput Apache i IIS. Na primer, zahtevanje fascikle bez kosa crta na kraju rezultuje preusmeravanjem da uključi kosu crtu:
Rezultati su:
Iako naizgled bezopasno, ovaj ponašanje može biti manipulisan korišćenjem HTTP zahteva za krijumčarenje kako bi se korisnici preusmerili na spoljni sajt. Na primer:
Ova prokrijumčarena zahtev može uzrokovati da sledeći obrađeni korisnički zahtev bude preusmeren na veb lokaciju kojom upravlja napadač:
Rezultati su:
U ovom scenariju, zahtev korisnika za JavaScript datotekom je otet. Napadač može potencijalno ugroziti korisnika posluživanjem zlonamernog JavaScript koda kao odgovor.
Iskorišćavanje Trovanja Web Keša putem HTTP Zahteva Smuggling-a
Trovanje web keša može biti izvršeno ako bilo koji deo front-end infrastrukture kešira sadržaj, obično radi poboljšanja performansi. Manipulacijom odgovora servera, moguće je trovanje keša.
Ranije smo primetili kako se odgovori servera mogu promeniti da bi vratili grešku 404 (pogledajte Osnovne Primere). Slično tome, moguće je prevariti server da isporuči sadržaj /index.html kao odgovor na zahtev za /static/include.js. Kao rezultat, sadržaj /static/include.js se zamenjuje u kešu sa sadržajem /index.html, čineći /static/include.js nedostupnim korisnicima, što potencijalno može dovesti do DoS (Denial of Service) napada.
Ova tehnika postaje posebno moćna ako se otkrije Ranjivost otvorenog preusmeravanja ili ako postoji preusmeravanje na otvoreno preusmeravanje na sajtu. Takve ranjivosti mogu biti iskorišćene da bi se zamenio keš sadržaj /static/include.js skriptom pod kontrolom napadača, omogućavajući suštinski širok napad Cross-Site Scripting (XSS) protiv svih klijenata koji zahtevaju ažurirani /static/include.js.
U nastavku je prikazano iskorišćavanje trovanja keša u kombinaciji sa preusmeravanjem na otvoreno preusmeravanje na sajtu. Cilj je promeniti keš sadržaj /static/include.js da posluži JavaScript kod koji kontroliše napadač:
Primetite ugnežđeni zahtev usmeren ka /post/next?postId=3. Ovaj zahtev će biti preusmeren na /post?postId=4, koristeći vrednost zaglavlja Host da odredi domen. Menjanjem zaglavlja Host, napadač može preusmeriti zahtev na svoj domen (unutrašnja preusmerenja na otvorena preusmerenja).
Nakon uspešnog trovanja soketa, treba pokrenuti GET zahtev za /static/include.js. Ovaj zahtev će biti kontaminiran prethodnim zahtevom unutrašnja preusmerenja na otvorena preusmerenja i dohvatiti sadržaj skripte kojom upravlja napadač.
Nakon toga, svaki zahtev za /static/include.js će poslužiti keširani sadržaj skripte napadača, efikasno pokrećući širok XSS napad.
Korišćenje HTTP zahteva za krijumčarenje kako bi se izveo prevarantni veb keš
Koja je razlika između trovanja veb keša i prevarantnog veb keša?
U trovanju veb keša, napadač uzrokuje da aplikacija sačuva zlonamerni sadržaj u kešu, a ovaj sadržaj se poslužuje iz keša drugim korisnicima aplikacije.
U prevarantnom veb kešu, napadač uzrokuje da aplikacija sačuva neki osetljivi sadržaj koji pripada drugom korisniku u kešu, a zatim napadač preuzima taj sadržaj iz keša.
Napadač kreira krijumčareni zahtev koji dohvata osetljiv korisnički specifičan sadržaj. Razmotrite sledeći primer:
Ako ovaj krijumčareni zahtev otrovi keš zapis namenjen statičkom sadržaju (npr. /someimage.png), osetljivi podaci žrtve iz /private/messages mogu biti keširani pod keš zapisom statičkog sadržaja. Kao rezultat toga, napadač bi potencijalno mogao povratiti ove keširane osetljive podatke.
Zloupotreba TRACE putem HTTP Request Smuggling
U ovom postu se sugeriše da ukoliko je server omogućio metodu TRACE, moguće je zloupotrebiti je sa HTTP Request Smuggling-om. Ovo je zato što će ova metoda odražavati bilo koji zaglavlje poslato serveru kao deo tela odgovora. Na primer:
Poslaće odgovor poput:
Jedan primer kako zloupotrebiti ovu ponašanje bilo bi prvo prokrijumčariti HEAD zahtev. Ovaj zahtev će dobiti odgovor samo sa zaglavljima GET zahteva (Content-Type među njima). Zatim prokrijumčariti odmah nakon HEAD zahteva TRACE zahtev, koji će reflektovati poslate podatke.
Pošto će odgovor HEAD zahteva sadržati zaglavlje Content-Length, odgovor TRACE zahteva će biti tretiran kao telo odgovora HEAD zahteva, te će reflektovati proizvoljne podatke u odgovoru.
Ovaj odgovor će biti poslat sledećem zahtevu preko veze, pa bi ovo moglo biti korišćeno u keširanom JS fajlu na primer za ubacivanje proizvoljnog JS koda.
Zloupotreba TRACE putem Razdvajanja HTTP Odgovora
Nastavite pratiti ovaj post predložen je još jedan način zloupotrebe metode TRACE. Kao što je komentarisano, prokrijumčariti HEAD zahtev i TRACE zahtev je moguće kontrolisati neke reflektovane podatke u odgovoru na HEAD zahtev. Dužina tela HEAD zahteva je uglavnom naznačena u zaglavlju Content-Length i formirana je odgovorom na TRACE zahtev.
Stoga, nova ideja bi bila da, znajući ovaj Content-Length i podatke dati u TRACE odgovoru, moguće je napraviti da TRACE odgovor sadrži validan HTTP odgovor nakon poslednjeg bajta Content-Length, omogućavajući napadaču potpunu kontrolu nad zahtevom ka sledećem odgovoru (što bi moglo biti korišćeno za izvođenje trovanja keša).
Primer:
Će generisati ove odgovore (obratite pažnju kako HEAD odgovor ima Content-Length čineći TRACE odgovor deo HEAD tela i kada HEAD Content-Length završi, validan HTTP odgovor je prokrijumčaren):
Oružjeziranje HTTP zahteva za krijumčarenje sa dezinkronizacijom HTTP odgovora
Da li ste pronašli neku ranjivost u vezi sa krijumčarenjem HTTP zahteva i ne znate kako da je iskoristite. Pokušajte sa ovom drugom metodom iskorišćavanja:
pageHTTP Response Smuggling / DesyncDruge tehnike krijumčarenja HTTP zahteva
Klijentsko krijumčarenje HTTP zahteva pretraživača (sa klijentske strane)
Krijumčarenje zahteva u HTTP/2 spuštanju
Turbo intruder skripte
CL.TE
Sa https://hipotermia.pw/bb/http-desync-idor
TE.CL
Od: https://hipotermia.pw/bb/http-desync-account-takeover
Alati
https://github.com/bahruzjabiyev/t-reqs-http-fuzzer: Ovaj alat je fuzzer za HTTP zasnovan na gramatici koristan za pronalaženje čudnih razlika u zahtevima za švercovanje.
Reference
Last updated
