HTTP 请求走私(HTTP Request Smuggling)

已于 2025-05-15 14:31:53 修改
阅读量834 收藏 24
点赞数 6
文章标签: http 前端 负载均衡
于 2025-05-15 14:24:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54381197/article/details/147982395
版权

HTTP 请求走私(HTTP Request Smuggling)是一种通过利用前端代理(如负载均衡器、CDN)和后端服务器在 解析 HTTP 请求时存在不一致性 的漏洞,从而实现 注入恶意请求 的攻击技术。

一、基本原理

HTTP 请求走私主要依赖两个请求头字段的不一致处理:

  • Content-Length:指明请求体的长度。

  • Transfer-Encoding: chunked:指明请求体是分块传输的。

不一致的场景

当前端和后端服务器对这两个头的解释不一致时,攻击者就能将多个请求“混淆”为一个请求,从而:

  • 绕过认证

  • 注入恶意请求

  • 劫持用户会话

  • 发起缓存投毒

  • 进行 XSS / CSRF 攻击

常见的组合方式:

名称条件
CL.TE前端使用 Content-Length,后端使用 Transfer-Encoding
TE.CL前端使用 Transfer-Encoding,后端使用 Content-Length
TE.TE前端和后端都支持 Transfer-Encoding,但处理方式不同

二、CL.TE 类型攻击示例

假设你有以下攻击场景:

  • 前端(比如 Nginx)使用 Content-Length 解析请求;

  • 后端(比如 Apache)使用 Transfer-Encoding: chunked 解析请求。

攻击请求如下:

POST / HTTP/1.1
Host: vulnerable.site
Content-Length: 62
Transfer-Encoding: chunked

0

GET /admin HTTP/1.1
Host: vulnerable.site

解析过程:

前端(Nginx)

  • 只看 Content-Length: 62,把整段请求当作一个完整请求发送到后端。

后端(Apache)

  • 看到 Transfer-Encoding: chunked,开始以分块方式解析请求。

  • 0\r\n\r\n 表示请求体结束。

  • 后面的 GET /admin HTTP/1.1... 被解释为另一个完整的 HTTP 请求

→ 后端就会执行这个攻击者构造的请求 GET /admin,可能会绕过权限控制!

三、防御方式

  1. 统一前后端解析逻辑

    • 确保前后端对 HTTP 请求头的处理一致。

  2. 禁止混合使用 Content-LengthTransfer-Encoding

    • 可以在 Web 应用防火墙(WAF)中检测并拒绝。

  3. 升级服务器

    • 新版本的服务器通常修复了相关解析不一致的问题。

  4. 使用 Web Application Firewall(WAF)

    • 例如 ModSecurity 可以检测这种模糊请求。

  5. 启用 Chunked 请求白名单机制

    • 如果应用不需要 chunked 编码,直接禁用该特性。

以下是一个真实的 HTTP 请求走私(HTTP Request Smuggling)攻击案例,展示了其在现实世界中的危害性。

🧪 案例:利用请求走私劫持用户会话

安全公司 Outpost24 在一次渗透测试中发现,某 Web 应用存在 TE:CL 类型的请求走私漏洞。通过精心构造的请求,攻击者成功实现了响应队列的不同步(Response Queue Desynchronization),从而劫持了其他用户的会话。Outpost24+1Outpost24+1

攻击过程:

  1. 识别漏洞:使用工具检测到前端服务器使用 Transfer-Encoding 解析请求,而后端服务器使用 Content-Length,存在解析不一致。

  2. 构造恶意请求:发送包含两个请求的单个 HTTP 请求,其中第一个请求设置了特定的头部,使后端服务器将两个请求视为一个,从而导致响应队列不同步。

  3. 劫持会话:由于响应队列不同步,攻击者能够接收到属于其他用户的响应,其中可能包含敏感信息,如访问令牌。

🔍 案例:Apache Tomcat 中的请求走私漏洞(CVE-2021-33037)

Apache Tomcat 是广泛使用的 Java Web 服务器。在 2021 年,发现其存在一个请求走私漏洞(CVE-2021-33037),影响版本包括 8.5.0 至 8.5.66、9.0.0.M1 至 9.0.46 和 10.0.0-M1 至 10.0.6。该漏洞源于 Tomcat 在某些情况下未正确解析 HTTP 的 Transfer-Encoding 请求头,导致在与反向代理一起使用时可能发生请求走私。QualysPortSwigger+1Qualys+1

攻击者可以利用该漏洞,隐藏恶意请求在正常请求中,绕过安全检查,执行未授权的操作。该漏洞已在后续版本中修复,建议用户升级至最新版本。

凯雀安全
关注
http请求走私漏洞原理,利用,检测,防护
墨痕诉清风的博客
11-24 2893
当今的web架构中,单纯的一对一客户端---服务端结构已经逐渐过时。前端服务器与后端服务器。前端服务器(例如代理服务器)负责安全控制,只有被允许的请求才能转发给后端服务器,而后端服务器无条件的相信前端服务器转发过来的全部请求,并对每一个请求都进行响应。但是在这个过程中要保证前端服务器与后端服务器的请求边界设定一致,如果前后端服务器对请求包处理出现差异,那么就可能导致攻击者通过发送一个精心构造的http请求包,绕过前端服务器的安全策略直接抵达后端服务器访问到原本禁止访问的服务或接口,这就是http请求走私
Tomcat HTTP请求走私(CVE-2021-33037)
Armandhe的博客
07-23 5519
漏洞我是没复现出来,但原理我搞的透透的
HTTP 请求走私漏洞详解
江左盟的博客
07-08 3674
超详细的HTTP请求走私漏洞教程,看完还不会你来找我。
HTTP 请求走私漏洞(HTTP Request Smuggling
weixin_42451330的博客
07-18 6420
HTTP请求走私漏洞(HTTP Request Smuggling)是一种安全漏洞,利用了HTTP协议中请求和响应的解析和处理方式的不一致性。攻击者通过构造特定的恶意请求,以欺骗服务器和代理服务器,从而绕过安全机制,执行未经授权的操作。HTTP请求走私漏洞通常涉及两个或多个HTTP请求的组合,攻击者可以利用HTTP报文中的头部或其他元数据来混淆和欺骗服务器或代理服务器的解析逻辑。
http请求走私(HTTP Request Smuggling)
热门推荐
不忘初心,护天下安全!
10-13 2万+
目录 东窗事发 事故实例 漏洞局限性 技术攻坚 检测请求走私 形成检测工具 漏洞利用 请求存储 攻击 缓解措施 东窗事发 HTTP请求理论上是独立的实体,但利用http请求走私技术可以突破理论限制,远程攻击者在未经身份验证的情况下,轻松攻击目标网络基础设施。 事故实例 事故名称:Tomcat请求漏洞(Request Smuggling) CVE编码:CVE-2...
http请求走私(request smuggling)原理解析
balance的博客
08-04 1625
原理 一般服务器端架构为:web服务器 + 应用服务器,web服务器比如nginx,apache httpd等(也可以叫反向代理),应用服务器比如apache tomcat,spring cloud等。 web服务器用来处理高并发客户端请求,并转发给后端应用服务器。 通常为了减少网络连接次数,提高处理速率,前端浏览器和web服务器之间会保活,即keep-alive;web服务器和应用服务器之间的tcp连接也会保活。保活:即复用tcp连接,在一个连接里面传输多个http请求 那么问题来了,一个tcp连
请求走私HTTP Request Smuggling
Au
08-21 3111
待补充
HTTP请求走私漏洞浅析
zkaqlaoniao的博客
03-14 1214
HTTP请求走私漏洞(HTTP Request Smuggling)是发生协议层的一种攻击,最早于2005年就被发现并提出。漏洞发生的主要原因是不同的服务器,对于RFC标准的具体实现不一而导致的。
HTTP请求走私漏洞原理与利用手段分析
道阻且长,行则将至
07-14 2435
本文介绍了 HTTP 请求走私漏洞的基本原理、漏洞类型、检测方法等,同时借助靶场实践分析了 HTTP/1 与 HTTP/2 协议下的 HTTP 走私漏洞的利用手段和具体危害,最后总结了防御此类漏洞的措施。
BP靶场:HTTP request smuggling HTTP请求走私携带
A_IRan的博客
04-07 573
BP靶场Lab10分钟左右不操作就可能会释放。修改HTTP协议的地方,V2022.3.9版本在最右边的侧边栏,其他版本也可以在附近位置找一下。Lab的注意内容和提示内容,很有可能是没有修改HTTP协议导致无法通过。一定要将HTTP/2协议,修改为HTTP/1协议。这点很重要,HTTP/2协议,无法完成本Lab。
每日漏洞系列(十三):详解HTTP请求走私
CTZL123456的博客
06-21 1453
希望这篇文章能帮你更好地理解HTTP请求走私攻击及其防御方法。如果你有任何问题,欢迎在评论区讨论。
【网络编程】七、详解HTTP && 搭建HTTP服务器
lirendada的博客
05-13 1212
这个要从万维网说起!万维网WWW(World Wide Web) 是一个大规模的、联机式的信息储藏所,英文简称为 Web,而不是什么特殊的计算机网络。它提供了一种链接的方式,能够非常方便地从互联网上的一个站点访问另一个站点,从而主动地按需获取丰富的信息,具体的细节我们这里不展开讲! ​ 同时万维网也是一个 分布式的 超媒体(hypermedia)系统,它是 超文本(hypertext)系统的扩充。所谓超文本是指包含指向其它文档的链接的文本,也就是说,一个超文本由多个信息源链接成,而这些信息源可以分布在世界
[经验总结]删除gitlab仓库分支报错:错误:无法推送一些引用到“http:”
wingaso的博客
05-13 332
在删除GitLab远程仓库分支时,遇到错误提示“You can only delete protected branches using the web interface”的处理方法。
Postman中https和http的区别是什么?
海姐软件测试的博客
05-07 1529
作为每天与API打交道的测试工程师,理解HTTPHTTPS的区别不仅关乎协议本身,更直接影响测试方案设计。本文将用测试视角揭示二者在Postman中的关键差异,并分享实战排查技巧。
网络协议分析 实验七 FTP、HTTP、DHCP
最新发布
weixin_73587775的博客
05-14 482
是一种用于简化主机 IP 配置管理的 IP 标准。通过采用 DHCP 标准,可以使用 DHCP 服务器为网络上启用了 DHCP 的客户端管理动态 IP 地址分配和其他相关配置细节。20 端口(数据连接)传输 实际文件数据 或 目录列表(如 LIST、RETR、STOR 命令触发的传输)21 端口(控制连接)传输 FTP 命令和响应(如登录、切换目录、下载/上传指令)。21关,每次传输后立即关闭(短连接),完成一个文件/列表传输后断开。20没关,默认保持长连接,直到用户退出(QUIT 命令)或超时。
httphttps的区别
九斤
05-12 527
HTTPHTTPS是互联网数据传输的两种协议,主要区别在于安全性、端口号、URL前缀、证书验证、数据传输过程、性能、应用场景和SEO影响。HTTP使用端口80,明文传输,不加密,适用于静态内容;HTTPS使用端口443,通过SSL/TLS加密传输,需要SSL证书,适用于敏感信息传输,且对SEO有积极影响。HTTPS通过数据加密、身份验证和完整性保护,提供了更高的安全性。现代网站普遍采用HTTPS,浏览器对HTTP网站会显示“不安全”警告。
43、Server.UrlEncode、HttpUtility.UrlDecode的区别?
qq_27678663的博客
05-13 920
Server.UrlEncode 和 HttpUtility.UrlDecode 是 .NET 中用于处理 URL 编码/解码的两个不同方法,主要区别在于所属命名空间、使用场景和具体行为。
原生的 XMLHttpRequest 和基于 jQuery 的 $.ajax 方法的异同之处以及使用场景
smart_reed的博客
05-12 1020
适合那些不想依赖外部库、需要更精细控制请求过程的开发者。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值