HTTP Request Smuggling
HTTP Request Smuggling (in italiano: Smuggling di richieste HTTP) è una tecnica di attacco informatico che sfrutta alcune vulnerabilità nelle implementazioni del protocollo HTTP da parte dei server web.
In pratica, un malintenzionato può manipolare la struttura delle richieste HTTP inviate al server, con l’obiettivo di nascondere informazioni dannose (come ad esempio del codice maligno) all’interno degli header (ovvero delle informazioni aggiuntive) della richiesta.
Questa tecnica può essere usata per vari scopi, come ad esempio:
- bypassare meccanismi di sicurezza che bloccano determinati tipi di richieste
- accedere a informazioni riservate o blocchi di codice protetti
- effettuare attacchi di tipo “cross-site scripting” (XSS) o “cross-site request forgery” (CSRF).
Per prevenire questi attacchi, i server web devono essere configurati correttamente e implementare misure di sicurezza per proteggersi dalle richieste malevole. Inoltre, i programmatori devono fare attenzione alla gestione delle informazioni sensibili contenute negli header delle richieste HTTP, evitando di inviare informazioni riservate in tali sezioni.