IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 网络协议 -> HTTP请求走私 -> 正文阅读

[网络协议]HTTP请求走私

HTTP请求走私

1、漏洞概述

1、HTTP走私

不同服务器分割请求的标准不一样,对同一段tcp内容,前后端服务器获取到的http请求个数不一致,(这里是因为http1.0版本之前,是客户端向服务器每进行一次HTTP请求,都要跟服务器建立一次TCP连接,但这样会对服务器负载开销过大。所以在HTTP1.1版本,增加了新的请求头,Connection=Keep-Alive.这种连接会告诉服务器在进行完这一次http请求后不要关闭链接,对于后面的请求还会用这个链接,这样可以提高效率。)解析http数据包时出现差异,就导致了请求走私。

2、漏洞原理

Content-Length:正常post请求,会带上请求体,请求体有多长,Content-Length的值就是多少字段来判断请求体的内容长度。解析到这个长度位置后,后面的将会舍弃。简称CL
Transfer-Encoding:字段来判定请求体的结束位置。它不靠Content-Length来告诉web服务器请求体有多长,而是靠0这个字符来代表分块结束,之后还要换行2次。,就是分块传输的标志,以/r/n/r/n代表结束。剩下的将会舍弃。简称TE。
在这里插入图片描述
(此乃我的画作,画艺比较高深,如果看不懂的话,可私聊,给你详细讲解。)
如果用户向目标网站发送一个HTTP请求,然后这个请求由反向代理服务器转发,这里有WAF,如果用户绕过这个WAF就是走私。
如果将TE和CL两个放在一块,出现了差异,就出现了五种HTTP请求走私。

3、CL-TE

这是CL-TE的靶场练习平台
https://portswigger.net/web-security/request-smuggling/lab-basic-cl-te
第一次传:
在这里插入图片描述
第二次传:
在这里插入图片描述

CL-TE请求方式,前端是CL,后端服务器是TE. 我们设置的CL长度是7,第一个0算一个字符,然后\r\n属于两个字符,呢么0/r/n/r/nqwer就是9个字符,到qw的时候CL截止,er丢弃。然后TE遇到\r\n就截止,呢么qw就在这次请求中不会出现,当再次请求的话,他就会出现在第二次请求的开头。所以我们第二次请求的时候,长度还是7的时候,qw就会出现。

4、TE-CL

TE-CL,前端是TE,后端是CL,
第一次:
在这里插入图片描述

第二次:
在这里插入图片描述
前端触摸到0\r\n\r\n就会截止,后端服务器是取到四字节会终止。就是5c\r\n,呢么Gpost后面的东西就会被截掉,然后出现在第二次请求的开头,就出先了这种情况。
练习网址:https://portswigger.net/web-security/request-smuggling/lab-basic-te-cl

5、CL不为0时的GET请求

在这里插入图片描述
由于Pipeline的存在(pipeline表示在外接程序与其主机之间交换数据的管线段的线性通信模型)通俗一点说就是pipeline 是为方便处理数据,将一个事情分成几个事情来做。没pipeline前就比如工厂工作包汤面叭,一个员工要将这项工作从和面,包心加工,包装,装车等。但有了Pipeline后,就相当于流水线,每个人只负责自己这一块就行,大大增加了效率。
因为代理服务器允许GET请求携带请求体,后端请求体不允许携带请求体。会忽略掉GET请求中的CL,然后后端服务器就收到了两个请求.

GET / HTTP/1.1\r\n
Host: example.net\r\n
Content-Length: 5\r\n
GET / index Http/1.1\r\n
Host: example.cn\r\n
\r\n

6、TE-TE

这里的代理服务器和后端服务器都是TE 方式,这种形式是通过混淆TE头的方式使其中一方的服务器从TE换为CL方式,最终成为CL-TE或TE-CL方式。
TE混淆方式总结:

Transfer-Encoding: xchunked
Transfer-Encoding : chunked

Transfer-Encoding: chunked
Transfer-Encoding: x
 
Transfer-Encoding:[tab]chunked

[space]Transfer-Encoding: chunked

X: X[\n]Transfer-Encoding: chunked

Transfer-Encoding

 chunked

第一次:
在这里插入图片描述

Content-Length: 4
Transfer-Encoding: chunked 
Transfer-Encoding: nothing #这里混肴了TE 将TE-TE转换为TE-CL形式。

第二次请求:
在这里插入图片描述
5c\r\n是四个字节,剩下的会出现在第二次请求中。就完成了HTTP请求攻击。

7、CL-CL

在RFC7230的规范中,服务器接受两个CL的值不同,会返回400错误,这个类型的漏洞是因为不遵守这个规范,代理服务器读取到第一个CL,后端服务器也读取到一个CL。造成走私攻击。
在这里插入图片描述
第一次请求长度是7,5c\r\nGPO从代理服务器到达后端,然后后端要五个字节,则只要5c\r\nG,呢么PO就造成了走私。

2、如何检测HTTP走私漏洞

1、延时技术(CL-TE漏洞)

POST / HTTP/1.1
Host: example.net
Transfer-Encoding: chunked
Content-Length: 4
 
1
a
b

解释:代理服务器使用了CL为4的长度时,它就只会转发4个字节长度的内容,会把b丢弃,而后端使用TE,遇到0/r/n/r/n,才会终止,但是一直等不到0\r\n\r\n,就会一直等待直到超时。

2、延时技术(TE-CL漏洞)


POST / HTTP/1.1
Host: example.net
Transfer-Encoding: chunked
Content-Length: 9
 
0
 
qwer

代理服务器时TE,他开始就遇到0\r\n\r\n,直接把qwer丢弃,然后将数据包发送给后端,后端用的是CL,要9个字节长度内容才会终止,等不到就一直等,直到响应超时。

3、防护措施

1、禁用代理服务器和后端服务器之间的TCP连接重用(但这样会加大服务器的压力)。

2、使用HTTP/2协议。

3、前后端服务器配置相同。

4、严格的实现RFC7230-7235中所规定的的标准。

  网络协议 最新文章
使用Easyswoole 搭建简单的Websoket服务
常见的数据通信方式有哪些?
Openssl 1024bit RSA算法---公私钥获取和处
HTTPS协议的密钥交换流程
《小白WEB安全入门》03. 漏洞篇
HttpRunner4.x 安装与使用
2021-07-04
手写RPC学习笔记
K8S高可用版本部署
mySQL计算IP地址范围
上一篇文章      下一篇文章      查看所有文章
加:2022-05-09 13:06:47  更:2022-05-09 13:07:29 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 10:37:48-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计