不一样的SRC挖洞思路: HTTP请求拆分漏洞实战
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
这篇文章分享了作者在国内挖掘到的一个高危实战案例,即由于HTTP请求拆分导致的HTTP请求走私漏洞。作者通过CRLF注入来走私HTTP请求报文,发现反向代理1会将从上游服务器收到的多个响应报文合并为一个响应报文返回给作者。
🎯
关键要点
- 国内存在HTTP请求走私、HTTP请求拆分和WEB缓存投毒漏洞的实战案例。
- 作者在2023年挖掘到多个与HTTP请求相关的漏洞,累计赏金超过10万元。
- 分享的案例是由于HTTP请求拆分导致的HTTP请求走私漏洞。
- 发现某站点存在CRLF注入导致的请求拆分漏洞,涉及反向代理的配置。
- 反向代理1和反向代理2之间的通信支持pipeline,可以一次性发送多个HTTP请求报文。
- 通过CRLF注入走私HTTP请求时,反向代理1将多个响应报文合并为一个返回给作者。
❓
延伸问答
什么是HTTP请求走私漏洞?
HTTP请求走私漏洞是由于HTTP请求拆分导致的安全漏洞,攻击者可以通过注入恶意请求来操控服务器的响应。
作者在2023年挖掘到哪些与HTTP请求相关的漏洞?
作者在2023年挖掘到多个与HTTP请求相关的漏洞,包括HTTP请求走私、HTTP请求拆分和WEB缓存投毒漏洞。
CRLF注入是如何导致请求拆分的?
CRLF注入通过在HTTP请求中插入回车换行符,导致服务器错误解析请求,从而实现请求拆分。
反向代理在HTTP请求走私中起什么作用?
反向代理在HTTP请求走私中负责转发请求,错误的配置可能导致多个响应被合并,从而使攻击者能够操控响应内容。
作者通过什么方式获得了超过10万元的赏金?
作者通过挖掘多个与HTTP请求相关的漏洞,累计获得了超过10万元的赏金。
反向代理1和反向代理2之间的通信有什么特点?
反向代理1和反向代理2之间的通信支持pipeline,可以一次性发送多个HTTP请求报文,而无需等待每个响应。
➡️
