HTTP kontrabandasi bo'yicha so'rov - HTTP request smuggling

HTTP kontrabandasi bo'yicha so'rov a xavfsizlik ekspluatatsiyasi ustida HTTP talqini o'rtasidagi ziddiyatni ishlatadigan protokol Tarkib uzunligi va / yoki O'tkazishni kodlash an-da HTTP server dasturlari orasidagi sarlavhalar HTTP proksi-server zanjir.^[1]^[2] Dastlab u 2005 yilda hujjatlashtirilgan bo'lib, PortSwigger tadqiqotlari natijasida yana ommalashgan.^[3]

Turlari

CL.TE

Ushbu HTTP-so'rov kontrabandasida oldingi qism so'rovni Content-Length sarlavhasi yordamida qayta ishlaydi, backend esa Transfer-Encoding sarlavhasi yordamida ishlaydi.^[3]

TE.CL

Ushbu HTTP-so'rov kontrabandasida oldingi qism Transfer-Encoding sarlavhasi yordamida so'rovni qayta ishlaydi, backend esa Content-Length sarlavhasi yordamida ishlaydi.^[3]

Oldini olish

HTTP / 2 backend ulanishlari uchun ishlatilishi kerak va bir xil HTTP sarlavhasini qabul qiladigan veb-server ishlatilishi kerak. ^[3]

Adabiyotlar

^ "CWE - CWE-444: HTTP so'rovlarini nomuvofiq talqini (" HTTP so'rovi kontrabandasi ") (4.0)". cwe.mitre.org. Olingan 2020-03-13.
^ "HTTP kontrabandasi nimani anglatadi? O'quv qo'llanmasi va misollar | Veb-xavfsizlik akademiyasi". portswigger.net. Olingan 2020-03-13.
^ ^a ^b ^v ^d "HTTP kontrabandasi so'rovi".

Bu kompyuter xavfsizligi maqola a naycha. Siz Vikipediyaga yordam berishingiz mumkin uni kengaytirish.

Bu Butunjahon tarmog'i - tegishli maqola a naycha. Siz Vikipediyaga yordam berishingiz mumkin uni kengaytirish.

[1] "CWE - CWE-444: HTTP so'rovlarini nomuvofiq talqini (" HTTP so'rovi kontrabandasi ") (4.0)". cwe.mitre.org. Olingan 2020-03-13.

[2] "HTTP kontrabandasi nimani anglatadi? O'quv qo'llanmasi va misollar | Veb-xavfsizlik akademiyasi". portswigger.net. Olingan 2020-03-13.

[portswigger1-3] v ^d "HTTP kontrabandasi so'rovi".

[1]

[2]

[3]