某不知名博客
carsaid
2024-01-15
目录

CL.0请求走私

翻译

原文:https://portswigger.net/web-security/request-smuggling/browser/cl-0

- name: 翻译
  desc: 原文:https://portswigger.net/web-security/request-smuggling/browser/cl-0
  bgColor: '#F0DFB1'
  textColor: 'green'
1
2
3
4

# 1CL.0请求走私

链式系统在确定每个请求的开始和结束位置时,确定的方式存在差异,从而造成请求走私漏洞。这通常是由于标头解析不一致 (opens new window),导致一台服务器使用请求中的Content-Length,而另一台服务器将消息视为分块。但是,可以在不依赖这些问题的情况下,执行许多等效的其他攻击。

在某些情况下,可以说服服务器忽略Content-Length标头,这意味着,它们假定每个请求都在标头末尾完成。这实际上与Content-Length: 0相同。

如果后端服务器表现出这种行为,但前端仍然使用Content-Length标头来确定请求的结束位置,则你可以利用这种差异进行 HTTP 请求走私。我们决定将其称为 “CL.0” 漏洞。

PortSwigger Research

本节中的材料和实验基于 PortSwigger Research 的《浏览器驱动的异步攻击-HTTP请求走私的新前沿》 (opens new window)

# 2测试CL.0漏洞

要探测 CL.0 漏洞,首先发送一个请求,该请求的正文中包含另一个请求,然后发送一个正常的后续请求。最后,你可以检查 后续请求的响应 是否受到走私前缀的影响。

在以下示例中,对主页的后续请求收到了 404 响应。这强烈表明后端服务器将POST请求的正文(GET /hopefully404...)解释为了另一个请求的开始。

POST /vulnerable-endpoint HTTP/1.1
Host: vulnerable-website.com
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 34

GET /hopefully404 HTTP/1.1
Foo: xGET / HTTP/1.1
Host: vulnerable-website.com
HTTP/1.1 200 OK








HTTP/1.1 404 Not Found

重要的注意点,我们没有以任何方式篡改标头 - 请求的长度由完全正常、准确的Content-Length标头指定。

使用 Burp Repeater 自己尝试一下:

  • 创建两个选项卡,一个包含所设置的请求,另一个包含任意后续请求。
  • 按正确的顺序将这两个选项卡添加到组中。
  • 使用 “Send” 按钮旁边的下拉菜单,将发送模式更改为 “Send group in sequence (single connection)”。
  • Connection标头更改为keep-alive
  • 发送序列并检查响应。

在实际应用中,大多数时候,我们会在不接受POST请求的端点上观察到这种行为,因为它们存在隐式假设 - 该端点接收的请求不会带有正文。触发服务器级重定向 和 静态文件请求的端点,是主要候选者。

# 3引发CL.0行为

如果找不到任何看似易受攻击的端点,可以改为尝试引发此行为。

当请求的标头触发服务器错误时,某些服务器会发出错误响应,同时不会继续使用套接字中的请求正文。如果服务器之后没有关闭连接,那么这可以提供一个替代的 CL.0 异步向量。

你还可以尝试使用带有混淆Content-Length标头的GET请求。如果你能够对后端服务器隐藏此信息,同时对前端显示此信息,那么这也可能导致不同步。当我们介绍 TE.TE 请求走私时,我们会研究一些标头混淆技术 (opens new window)

# 4利用CL.0漏洞

这在之前的请求走私材料 (opens new window)中介绍过,你可以利用 CL.0 漏洞执行相同的服务端请求走私攻击。通过以下实验室亲自尝试此操作。

实验室-从业者

CL.0请求走私 >>

- name: 实验室-从业者
  desc: CL.0请求走私 >>
  avatar: https://fastly.statically.io/gh/clincat/blog-imgs@main/vuepress/static/imgs/docs/burpsuite-learn/public/lab-logo.png
  link: https://portswigger.net/web-security/request-smuggling/browser/cl-0/lab-cl-0-request-smuggling
  bgColor: '#001350'
  textColor: '#4cc1ff'
1
2
3
4
5
6

# 5H2.0漏洞

如果后端服务器忽略降级请求中的Content-Length标头,则将 HTTP/2 请求降级为 HTTP/1 (opens new window) 的网站,可能容易受到等效的 “H2.0” 攻击。

# 6如何防范CL.0漏洞

可用于防范 CL.0 漏洞和其他异步攻击的一些高级措施,请参阅如何防范 HTTP 请求走私漏洞 (opens new window)

下一步该做什么?

你可以扩展在本节中学到的知识,以执行多种请求走私攻击的客户端变体。若要了解如何操作,请查看客户端异步攻击 (opens new window)LABS

编辑 (opens new window)
浏览器驱动的请求走私
客户端异步攻击

客户端异步攻击

最近更新
01
API测试笔记
04-30
02
msfvenom
03-29
03
Metasploit
03-29
更多文章>
Theme by Vdoing | Copyright © 2023-2024 Carsaid | MIT License