Contrabbando di richieste HTTP - HTTP request smuggling
| HTTP |
|---|
| Metodi di richiesta |
| Campi di intestazione |
| Codici di stato di risposta |
| Metodi di controllo dell'accesso di sicurezza |
| Vulnerabilità di sicurezza |
Il contrabbando di richieste HTTP è un exploit di sicurezza sul protocollo HTTP che utilizza l'incoerenza tra l'interpretazione di Content-lengthe/o le Transfer-encodingintestazioni tra le implementazioni del server HTTP in una catena di server proxy HTTP . È stato documentato per la prima volta nel 2005 da Linhart et al., ed è stato nuovamente ripopolare dalla ricerca di PortSwigger.
tipi
CL.TE
In questo tipo di contrabbando di richieste HTTP, il front-end elabora la richiesta utilizzando l'intestazione Content-Length mentre il backend elabora la richiesta utilizzando l'intestazione Transfer-Encoding.
TE.CL
In questo tipo di contrabbando di richieste HTTP, il front-end elabora la richiesta utilizzando l'intestazione Transfer-Encoding mentre il backend elabora la richiesta utilizzando l'intestazione Content-Length.
Prevenzione
HTTP/2 dovrebbe essere usato per le connessioni di backend e dovrebbe essere usato il server web che accetta lo stesso tipo di intestazione HTTP.
Riferimenti
 |
Questo articolo sulla sicurezza informatica è solo un abbozzo . Puoi aiutare Wikipedia espandendola . |
 |
Questa voce sull'argomento World Wide Web è solo un abbozzo . Puoi aiutare Wikipedia espandendola . |