iT邦幫忙

第 12 屆 iThome 鐵人賽
DAY 23
3
Security

資安這條路─以自建漏洞環境學習資訊安全系列 第 23

資安這條路 23 - [WebSecurity] HTTP Smuggling

12th鐵人賽
9438 瀏覽

  • 分享至 

  • xImage
    •  
  • 了解 HTTP Smuggling 漏洞之前要先了解 HTTP 協定中
    • RFC 2616
    • Context-Length
    • Transfer-Encoding
  • 關於 Context-Length
  • 關於 Transfer-Encoding

HTTP Smuggling

  • 因為前後端解析不一致導致的問題

種類

  • CL.TE: 前端 Content-Length 後端 Transfer-Encoding
  • TE.CL: 前端 Transfer-Encoding 後端 Content-Length
  • TE.TE: 前後端都 Transfer-Encoding header

參考文章


上一篇
資安這條路 22- [WebSecurity] 不安全的反序列化 Insecure Deserialization
下一篇
資安這條路 24- [Web 伺服器軟體] Apache
系列文
資安這條路─以自建漏洞環境學習資訊安全31
  1. 27
    資安這條路 27 - [伺服器軟體]Web 應用伺服器-Tomcat、Weblogic、Websphere、Jboss
  2. 28
    資安這條路 28 - [作業系統] Windows、Linux
  3. 29
    資安這條路 29 - [滲透測試] 滲透測試流程、資訊安全概論
  4. 30
    資安這條路 30 - [WebSecurity] 統整弱點
  5. 31
    資安這條路 31 - [WebSecurity] 資源分享
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 則留言

0
kawa0710
iT邦研究生 5 級 ‧ 2020-10-15 09:47:45

請問防護手法的「設定Connection:close保持後端請求為單獨的TCP連線」

  1. 是在前端伺服器設定嗎?還是前、後端都要一起設定?
  2. 在Web Server要做什麼設定?
飛飛 iT邦研究生 5 級 ‧ 2020-10-15 10:42:06 檢舉

requestresponse 都有 Connection 的標頭欄位,
HTTP/1.0 預設 close
HTTP/1.1 預設 keep-alive
HTTP/2 禁止使用 Connection

若要關閉,則需要在 requestresponseConnection 標頭欄位都設定 close。

登入發表回應
0
wtkao
iT邦新手 5 級 ‧ 2022-08-14 11:22:11

請教一下,為什麼負載平衡器或反向代理作為Fron-End伺服器,就無法解析Transfer-Encoding?

登入發表回應

我要留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22184
完賽人數
598
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙