学习日志14:Request Smuggling攻击

最新推荐文章于 2024-05-30 09:58:57 发布
最新推荐文章于 2024-05-30 09:58:57 发布
阅读量493 收藏 1
点赞数
分类专栏: 学习笔记 文章标签: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37622973/article/details/101539769
版权

本文主要内容摘自freebuf
原文链接:https://www.freebuf.com/articles/web/213360.html

1.Content-Length
用于表示HTTP消息长度,用十进制数字表示的八位字节的数目,Content-Length首部指示出报文中实体主体的字节大小,这个大小是包含了所有内容编码的,比如,对文本文件进行了gzip压缩的话,Content-Length首部指的就是压缩后的大小而不是原始大小。
特殊情况1:Content-Length>实际长度:服务端/客户端读取到消息结尾后,会等待下一个字节,自然会无响应直到超时。
特殊情况2:Content-Length<实际长度:首次请求的消息会被截取,比如参数为12345,Content-Length为2,那么这次请求的消息会被截取为:12。
当Content-Length<实际长度并且开启了“Connection:keep-alive”时,被截断的多余请求将出现在下一次请求的最前面,比如12345,Content-Length为2,那么下一次请求将以345为开头,如345GET HTTP1.1…
Content-Length首部指示出报文中实体主体的字节大小,但如在请求处理完成前无法获取消息长度,我们就无法明确指定Content-Length,此时应该使用Transfer-Encoding:chunked

2.Transfer-Encoding
Transfer-Encoding: chunked是什么?
数据以一系列分块的形式进行发送,Content-Length 首部在这种情况下不被发送,在每一个分块的开头需要添加当前分块的长度,以十六进制的形式表示,后面紧跟着 \r\n,之后是分块本身,后面也是\r\n,终止块是一个常规的分块,不同之处在于其长度为0。
形如:
长度(十六进制)\r\n数据\r\n
长度(十六进制)\r\n数据\r\n
长度(十六进制)\r\n数据\r\n

长度(0)\r\n
\r\n
如果报文中包含Transfer-Encoding: chunked首部, 那么Content-Length将被忽略。

3.Content-Length和Transfer-Encoding一起使用
由于HTTP规范提供了以上两种不同方法来指定HTTP消息体的长度,因此单个消息可以同时使用这两种方法,这种情况下,它们就会发生相互冲突。HTTP规范试图通过声明来防止此问题的发生,即:如果Content-Length和Transfer-Encoding标头同时出现在一个请求中,则应忽略Content-Length标头。这种规范在一台服务器接收请求时可以避免出现歧义,但在两台或多台服务器链接收请求时可能会出现问题。

4.Request Smuggling攻击
(1)服务器部署情况
现如今的Web应用通常会在用户和最终应用程序逻辑之间使用大量的HTTP服务器,用以优化分流控制网络流量。客户端用户的请求会经过Front-End前端服务器(有时叫负载平衡器或反向代理),然后转发到一个或多个Back-End后端服务器,Web应用这种类型的架构越来越常见,尤其是在现今云服务的流行概念下,某些环境中不可避免。
(2)漏洞原因
这种部署方式下,前端和后端服务器就不同序列请求之间的界限达成一致非常重要,否则,攻击者可能会发送一个模糊的请求,这样一来,前端和后端系统由于对该请求的结束界限不清,会对这个模糊的请求执行不同的解析处理,从而产生不同的响应结果,Request Smuggling漏洞也由此而生。
(3)攻击方式
将Content-Length和Transfer-Encoding标头放入单个HTTP请求中,并对其进行操控,让前端和后端服务器以不同方式处理请求,这种攻击取决于前端和后端两台服务器对标头的处理方式:
CL.TE:前端服务器使用Content-Length头,后端服务器使用Transfer-Encoding头;
TE.CL:前端服务器使用Transfer-Encoding标头,后端服务器使用Content-Length标头;
TE.TE:前端和后端服务器都支持采用Transfer-Encoding标头,但可以通过某种方式对标头进行模糊构造,导致其中一台服务器对它实行处理。
(4)案例
(a)CL.TE漏洞
这里前端服务器使用Content-Length标头,后端服务器使用Transfer-Encoding标头,因此我们可以执行简单的HTTP请求夹带攻击,如:
POST / HTTP/1.1
Host: your-lab-id.web-security-academy.net
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 13
Transfer-Encoding: chunked

0
SMUGGLED
前端服务器按照Content-Length标头处理并确定请求主体长度为13个字节,直到SMUGGLED结束,并将此请求转发到后端服务器。但后端服务器只支持Transfer-Encoding标头,因此它会将消息体视为分块编码,它按序处理数据块,但第一个块就为0数据块,因此处理终止,后序消息体SMUGGLED不会被执行处理,后端服务器将这些字节视为序列中下一个请求的开始。此时如果前端服务器继续向后端服务器转发请求,那么后端服务器下一个接收到的请求就会是:SMUGGLED+POST=SMUGGLEDPOST的请求方法,这样,后端服务器会返回响应:Unrecognized method SMUGGLEDPOST(未知的请求方法SMUGGLEDPOST)
(b)TE.CL漏洞
这里,前端服务器使用Transfer-Encoding标头,后端服务器使用Content-Length标头,因此我们可以执行以下构造的HTTP请求夹带攻击:
POST / HTTP/1.1
Host: vulnerable-website.com
Content-Length: 3
Transfer-Encoding: chunked

8
SMUGGLED
0
此种情况下,前端服务器支持Transfer-Encoding标头,会将消息体视为分块编码方式,它处理第一个长度为8字节的数据块,内容是SMUGGLED,之后解析处理第二个块,它是0长度,因此解析终止。该请求转发到后端服务器后,由于后端服务器采用Content-Length标头,按照其中请求主体长度的3个字节,解析会执行到8之后的行开头,所以SMUGGLED及以下的内容就不会被处理,后端服务器会将余下内容视为请求序列中下一个请求的起始。

(5)漏洞利用
通过不断变换请求,可以检索出更多目标应用的内部敏感信息,有些系统完全依赖前端来保证安全性,一旦绕过前端就能获取到更多后端目标应用的相关信息

(6)可能的防御手段
WAF新增规则:
POST body里有HTTP请求头内容,直接拒绝
POST body长度和content-length不等的请求直接拒绝

丫郎酸
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
不足的日志记录和监控漏洞
m0_61506558的博客
10-27 1200
若将Web应用的安全管理划分成“事前”“事中”与“事后”这3个阶段,那么日志记录与监控则是“事后”这一阶段的重点。做好日志记录和监控对“安全运维”工作的意义重大。在实践过程中,也需谨防“日志注入”等风险较低的问题,以免遭受攻击者的误导与侵害。
http-request-smuggling:HTTP请求走私检测工具
05-04
HTTP请求走私检测工具 HTTP请求走私是一种高度严重的漏洞,该技术是攻击者通过模糊的HTTP请求走私以绕过安全控制并获得未经授权的访问权以执行恶意活动,该漏洞是在2005年由发现的,并于2019年8月重新发现。由发现,并在和,要了解有关此漏洞的更多信息,可以在查阅其文献充分的研究博客。 因此,此安全工具背后的想法是针对给定主机检测HRS漏洞,并根据具有给定排列的时间延迟技术进行检测,因此,要进一步了解此工具,我强烈建议您阅读有关以下内容的文章:这个工具。 技术概述 该工具是使用python编写的,要使用此工具,您必须在本地计算机上安装python 3.x版本。 它采用您需要在文本文件中提供的一个URL或URL列表的输入,并且通过遵循HRS漏洞检测技术,该工具具有内置的有效负载,该负载具有大约37个排列的CL.TE和TE.CL及其对于每个给定的主机,将使用这些有效负载来生成攻击请求对象,
request smuggling漏洞
qq_43225230的博客
11-26 644
由于 HTTP 规范提供了两种不同的方法来指定 HTTP 消息的长度,因此单个 消息以同时使用这两种方法,以便它们相互冲突。
HTTP请求走私漏洞浅析
zkaqlaoniao的博客
03-14 865
HTTP请求走私漏洞(HTTP Request Smuggling)是发生协议层的一种攻击,最早于2005年就被发现并提出。漏洞发生的主要原因是不同的服务器,对于RFC标准的具体实现不一而导致的。
利用Request Smuggling进行账户劫持
s1056481432的博客
07-30 255
什么是Request Smuggling 简而言之就是一种模糊的请求,当我们向代理服务器发送http请求时,由于两者服务器的实现方式不同,可能代理服务器认为这是一个http请求,然后将其转发给了后端,但后端服务器经过解析处理后,只认为其中的一部分为正常请求,剩下的那些,就算是走私请求,当该部分对正常用户造成了影响之后,就实现了HTTP走私攻击。 在默认情况下,HTTP协议中每个传输层只能承载一个HTTP请求和响应,浏览器收到上一个请求响应后,才能开始下一个请求。 这里简单介绍下Transfer靶场进行演示
http请求走私(request smuggling)原理解析
balance的博客
08-04 1361
原理 一般服务器端架构为:web服务器 + 应用服务器,web服务器比如nginx,apache httpd等(也可以叫反向代理),应用服务器比如apache tomcat,spring cloud等。 web服务器用来处理高并发客户端请求,并转发给后端应用服务器。 通常为了减少网络连接次数,提高处理速率,前端浏览器和web服务器之间会保活,即keep-alive;web服务器和应用服务器之间的tcp连接也会保活。保活:即复用tcp连接,在一个连接里面传输多个http请求 那么问题来了,一个tcp连
HTTP 请求夹带(smuggling)攻击
weixin_30261095的博客
08-09 1344
什么是HTTP请求夹带(smuggling)攻击 HTTP请求走私是一种干扰网站处理从一个或多个用户接收的HTTP请求序列的方式的技术。 请求夹带漏洞危害,允许攻击者绕过安全控制,获取对敏感数据的未授权访问,并直接危及其他应用程序用户。 HTTP请求夹带攻击是怎么发生的? 今天的Web应用程序经常在用户和最终应用程序逻辑之间使用HTTP服务器链。 用户将...
探索Web安全的深水区:Request Smuggler项目深度解析与推荐
最新发布
gitblog_00030的博客
05-30 563
探索Web安全的深水区:Request Smuggler项目深度解析与推荐 项目地址:https://gitcode.com/Sh1Yo/request_smuggler 网络安全是一个永恒的话题,尤其是在今天这个互联网高度发达的时代。针对HTTP协议的攻击方式层出不穷,而其中一种相对不那么广为人知但同样危险的技术就是“请求走私(Request Smuggling)”。今天,我们来深入探讨一个专注...
分析HTTP请求以降低HTTP走私攻击HTTP数据接收不同步攻击的风险
m0_67105288的博客
02-26 4734
写在前面的话 HTTP/1.1自1991年至2014年,已经走过了一段很长的发展历程: HTTP/0.9– 1991 HTTP/1.0– 1996 HTTP/1.1 RFC 2068– 1997 RFC 2616- 1999 RFC 7230- 2014 这也就意味着,互联网中各种各样的服务器和客户端,可能会存在很多安全问题,这也会给HTTP走私攻击(HTTP数据接收不同步攻击)创造了机会。 \ 遵循最新的RFC建议似乎很简单。然而,对于已经存在一段时间的大型系统,它可能会带来很多
SSRF攻击姿势汇总
CanMeng'Blog - 一个WEB安全渗透的技术爱好者
11-29 1299
前言 这是很早就整理的笔记,今天想起来发到博客上,还是要保持写文章总结的习惯啊。 最近笔者在看讲SSRF、protocol smuggle、HTTP request smuggle、SSO任意跳转,Url解析不一致导致的安全问题。一方面由衷地佩服演讲人的脑洞和安全功底,另外一方面又在笔者又在反思,如果是我,我会怎么去发现此类漏洞,解决方案又是什么。本文不同于各大公众号千篇一律的复现、验证漏洞文章,会加入自己的思考和心得。鉴于文章会存在一些敏感内容,笔者会本着在删除敏感内容的前提下,尽量让大家都能看懂的标准
HTTP-Smuggling-Lab:使用HTTP走私实验室学习HTTP走私
05-22
HTTP-Smuggling-Lab是用于学习有关HTTP请求走私的实验室。 安装 使用docker-compose在每个目录中构建实验室。 用法 在每个目录中详细阅读README.md。 在Lab1中,我们将链接一些反向代理关系,Nginx将是最终的后端,...
DownloadBlocker:chrome扩展名,根据文件扩展名的来源阻止下载。 可用于防止HTML Smuggling攻击
05-03
它被创建为防止HTML走私攻击的一种方式,但是它也可以阻止从Web服务器进行的下载。 HTML走私本质上是一种绕过Web代理/防火墙的技术,该Web代理/防火墙检测从服务器下载的可执行内容。 它通过使用HTML5 API纯粹通过...
http-desync-guardian:分析HTTP请求以最大程度地减少HTTP异步攻击的风险(HTTP请求走私拆分的前身)
03-21
概述 ... – 1991 – 1996 ... – 1997年 1999年 2014年 这意味着有各种各样的服务器和客户端,...日志记录受速率限制,并且混淆了所有用户数据。 如果您认为可能已发现安全问题,请按照 优先事项 服务之间的一致性是关键
MiscSploits:其他漏洞利用脚本
05-08
Apigee_HTTP_Smuggling.md Apigee私有云-HTTP请求走私(无法修复) emc_networker_dos.py Dell EMC Networker服务器-缓冲区溢出PoC [CVE-2018-1218] TAC Xenta Traversal.txt 施耐德电气TAC Xenta 911/511-路径...
Apache ModSecurity 基础介绍
ppaudio的专栏
04-27 1274
转自:https://javascript.net.cn/article?id=449 一,主要功能: SQL Injection (SQLi):阻止SQL注入 Cross Site Scripting (XSS):阻止跨站脚本攻击 Local File Inclusion (LFI):阻止利用本地文件包含漏洞进行攻击 Remote File Inclusione(RFI):阻止利用远程文件包含漏洞进行攻击 Remote Code Execution (RCE):阻止利用远程命令执行漏洞进行攻击 PHP C
学习日志9:XXE+php://filter绕过WAF读内网文件
m0_37622973的博客
09-08 1378
摘自freebuf 出处:https://www.freebuf.com/vuls/211822.html 基础知识: 1.php://filter是php中独有的一个协议,可以作为一个中间流来处理其他流,可以进行任意文件的读取;使用不同的参数可以达到不同的目的和效果:其中resource=<要过滤的数据流>,指定了要筛选过滤的数据流 2.php的data://text/plain;b...
学习日志1:爬虫+google搜索+sqlmap实现自动化任意网站的sql注入查找
m0_37622973的博客
08-31 1320
摘自freebuf 出处:https://www.freebuf.com/articles/web/210651.html 思想:利用爬虫在google按关键字搜索可能存在注入的url,存入一个文本文件中,再利用爬虫进行探测,筛选出有响应的url,最后使用sqlmap利用制定好的参数进行sql注入探测。 解决的问题:sqlmap中已经包含此功能,即-g语法,但无法正常处理带有中文的url 关键点:...
学习日志10:提权方法总结
m0_37622973的博客
09-10 576
一、windows提权 user->administrator->system 1.at命令,定时以system权限执行命令(例如打开cmd) win7以前的版本 admin->system 2.利用服务(服务都是system用户启动的),设置一个cmd服务,再手动启动此服务 win7,8 admin->system 3.利用Sysinternal Suite组件中的pse...
HTTP Request Smuggling
07-28
HTTP Request Smuggling 是一种攻击技术,利用了不同的 HTTP 设备(如负载均衡器、防火墙等)在处理 HTTP 请求时的解析差异,从而导致安全漏洞。 攻击者通过构造特殊的 HTTP 请求,利用不同设备在解析请求时的差异...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值