English
•
Deutsch
•
Français
•
Nederlands
•
Español
•
Italiano
•
Português
•
Русский
•
日本語
•
한국어
•
हिन्दी
•
తెలుగు
•
मराठी
•
தமிழ்
•
Türkçe
•
Ελληνικά
•
Polski
•
Čeština
•
Magyar
•
Svenska
•
Dansk
•
Suomi
•
Українська
•
العربية
•
Indonesia
HTTP Request Smuggling
HTTP请求走私是一种攻击方法,通过对Web服务器发送伪造的HTTP请求,以欺骗Web服务器接受它们并响应错误的请求,从而攻击站点或客户端。攻击者可以利用HTTP请求走私来执行许多攻击,如盗取Cookie、绕过验证措施或执行跨站点脚本攻击。攻击需要利用HTTP请求的多个解释器,如代理服务器或Web防火墙,来欺骗服务器。
攻击的常见形式是伪造一个HTTP请求,以便将一个HTTP请求假设为两个或更多HTTP请求。这种攻击可以从两个不同的HTTP头解释器解释出不同的结果。
为了防止HTTP请求走私,服务器可以实现多种保护措施。其中之一是实现HTTP请求解释器完整性检查。这可以通过检查HTTP请求消息的Content-Length标头等方法来实现。其他防御方法包括使用HTTP反欺骗模式、使用Web应用程序防火墙或配置代理服务器来执行HTTP请求解释器检查。