携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第22天,点击查看活动详情
HTTP请求走私
1、漏洞概述
1、HTTP走私
不同服务器分割请求的标准不一样,对同一段tcp内容,前后端服务器获取到的http请求个数不一致,(这里是因为http1.0版本之前,是客户端向服务器每进行一次HTTP请求,都要跟服务器建立一次TCP连接,但这样会对服务器负载开销过大。所以在HTTP1.1版本,增加了新的请求头,Connection=Keep-Alive.这种连接会告诉服务器在进行完这一次http请求后不要关闭链接,对于后面的请求还会用这个链接,这样可以提高效率。)解析http数据包时出现差异,就导致了请求走私。
2、漏洞原理
Content-Length:正常post请求,会带上请求体,请求体有多长,Content-Length的值就是多少字段来判断请求体的内容长度。解析到这个长度位置后,后面的将会舍弃。简称CL
Transfer-Encoding:字段来判定请求体的结束位置。它不靠Content-Length来告诉web服务器请求体有多长,而是靠0这个字符来代表分块结束,之后还要换行2次。,就是分块传输的标志,以/r/n/r/n代表结束。剩下的将会舍弃。简称TE。
(此乃我的画作,画艺比较高深,如果看不懂的话,可私聊,给你详细讲解。)
如果用户向目标网站发送一个HTTP请求,然后这个请求由反向代理服务器转发,这里有WAF,如果用户绕过这个WAF就是走私。
如果将TE和CL两个放在一块,出现了差异,就出现了五种HTTP请求走私。
3、CL-TE
这是CL-TE的靶场练习平台
portswigger.net/web-securit…
第一次传:
第二次传:
CL-TE请求方式,前端是CL,后端服务器是TE. 我们设置的CL长度是7,第一个0算一个字符,然后\r\n属于两个字符,呢么0/r/n/r/nqwer就是9个字符,到qw的时候CL截止,er丢弃。然后TE遇到\r\n就截止,呢么qw就在这次请求中不会出现,当再次请求的话,他就会出现在第二次请求的开头。所以我们第二次请求的时候,长度还是7的时候,qw就会出现。
