HTTP Request Smuggling
HTTP Request Smuggling - це атака на веб-додатки, яка базується на помилках у реалізації кешування HTTP-запитів на стороні проксі-серверів та файрволів. Ця атака використовується для зміни способу обробки HTTP-запитів на більш небезпечний.
На самому початку з’єднання з сервером, HTTP-клієнт відправляє запит, який проксі-сервер виділяє окремо і кешує. Якщо після цього відбувається деяке несподіване повідомлення про помилку, проксі-сервер може його проігнорувати та продовжити обробку запиту.
HTTP Request Smuggling використовується для того, щоб додаткові запити були невидимі для проксі-серверів та файрволів. Це виконується за допомогою контролю сессії, а також за допомогою декількох HTTP-запитів, які мають відмінні відстані між заголовками на рівні протоколу TCP.
Як це можна уникнути? В цілому, якщо використовувати безпечний код та захистити систему від можливих атак. Також можна використовувати безпеку програмного забезпечення та більш детальні облікові записи в системі, що дозволяє прослідкувати всі запити.
Отримання безпечного програмного забезпечення потребує обов’язкового використання методології “захист вглиб”. Цю технологію використовують, щоб захистити веб-додаток від можливих атак під час етапу розробки і на етапі експлуатації.
Ці методи повинні включати в себе перевірку ст