HTTP |
---|
Способы запроса |
Поля заголовка |
Коды состояния |
Методы управления безопасным доступом |
Уязвимости безопасности |
Запрос HTTP контрабанду является безопасность эксплуатации на HTTP - протокола , который использует несоответствие между интерпретацией Content-length
и / или Transfer-encoding
заголовков между HTTP реализаций сервера в HTTP - прокси - сервера сети. [1] [2] Впервые он был задокументирован в 2005 году и снова стал популярным благодаря исследованиям PortSwigger. [3]
Типы [ править ]
CL.TE [ править ]
В этом типе контрабанды HTTP-запросов внешняя часть обрабатывает запрос с использованием заголовка Content-Length, а внутренняя часть обрабатывает запрос с использованием заголовка Transfer-Encoding. [3]
TE.CL [ править ]
В этом типе контрабанды HTTP-запросов интерфейсная часть обрабатывает запрос с использованием заголовка Transfer-Encoding, а внутренняя часть обрабатывает запрос с использованием заголовка Content-Length. [3]
Профилактика [ править ]
HTTP / 2 следует использовать для внутренних подключений, а веб-сервер, принимающий тот же тип заголовка HTTP, должен использоваться. [3]
Ссылки [ править ]
- ^ «CWE - CWE-444: Несогласованная интерпретация HTTP-запросов ('Контрабанда HTTP-запросов') (4.0)» . cwe.mitre.org . Проверено 13 марта 2020 .
- ^ «Что такое контрабанда HTTP-запросов? Учебное пособие и примеры | Академия веб-безопасности» . portswigger.net . Проверено 13 марта 2020 .
- ^ a b c d "Контрабанда HTTP-запросов" .