一、漏洞定義與核心原理

? ? ? ?HTTP請求走私（HTTP Request Smuggling）是一種利用前端服務器（如代理、負載均衡器）與后端服務器在解析HTTP請求時的不一致性，繞過安全機制并執行惡意操作的攻擊技術。其核心在于混淆請求邊界，使前后端服務器對同一請求的解析結果不同，導致攻擊者注入的惡意請求被后端服務器單獨處理。

關鍵成因：

HTTP/1.1協議允許通過兩種方式指定請求體長度：

1. Content-Length：直接聲明請求體字節數。
2. Transfer-Encoding: chunked：分塊傳輸，以0\r\n\r\n標記結束。

? ? ? ?當前后端服務器對這兩種方式的處理邏輯不一致時（如前端按Content-Length解析，后端按Transfer-Encoding解析），攻擊者可構造特殊請求，使前端轉發一個請求，而后端將其拆分為多個請求，從而繞過安全控制。

二、漏洞類型與攻擊示例

1. CL.TE（Content-Length + Transfer-Encoding）
   • 前端：按Content-Length解析。
   • 后端：按Transfer-Encoding解析。
   • 攻擊示例：

     POST / HTTP/1.1
     Host: example.com
     Content-Length: 6
     Transfer-Encoding: chunked
     0
     GET /admin HTTP/1.1

     • 前端根據Content-Length=6，認為請求體為0\r\n\r\n，轉發完整請求。
     • 后端按Transfer-Encoding解析，遇到0后認為請求結束，剩余部分（GET /admin...）被視為新請求，可能繞過權限控制。
2. TE.CL（Transfer-Encoding + Content-Length）
   • 前端：按Transfer-Encoding解析。
   • 后端：按Content-Length解析。
   • 攻擊示例：

     POST / HTTP/1.1
     Host: example.com
     Content-Length: 4
     Transfer-Encoding: chunked
     5c
     GPOST / HTTP/1.1

     • 前端按Transfer-Encoding解析，讀取5c字節后停止（實際數據為GPOST...）。
     • 后端按Content-Length=4，認為請求體為5c\r\n，剩余部分（GPOST...）被視為新請求，可能導致請求偽造。
3. TE.TE（混淆Transfer-Encoding）：前后端均支持Transfer-Encoding，但攻擊者通過混淆（如Transfer-Encoding: xchunked）使某一端忽略該頭部，導致解析不一致。

三、漏洞危害

1. 會話劫持：竊取用戶Cookie或會話令牌，冒充合法用戶。
2. 緩存投毒：污染CDN或代理緩存，向其他用戶返回惡意內容。
3. 跨站腳本（XSS）：注入惡意腳本，竊取用戶數據或執行未授權操作。
4. 請求偽造：偽造管理員請求，執行敏感操作（如添加用戶、修改配置）。
5. 信息泄露：獲取服務器內部信息（如路徑、配置、敏感文件）。
6. 拒絕服務（DoS）：通過大量惡意請求耗盡服務器資源。
7. 遠程代碼執行（RCE）：在特定環境下，結合其他漏洞執行任意代碼。

四、檢測與防御措施

檢測方法：

1. 計時攻擊：通過發送特定請求并觀察響應延遲，判斷是否存在解析不一致（如CL.TE或TE.CL）。
2. 差異響應：構造包含兩個請求的測試用例，檢查后端是否將部分數據視為新請求。
3. 自動化工具：使用Burp Suite、OWASP ZAP等工具掃描潛在漏洞。

防御策略：

1. 統一解析邏輯：確保前后端服務器使用相同的請求體長度解析方式（如均禁用Transfer-Encoding或均啟用嚴格校驗）。
2. 禁用危險頭部：在代理或負載均衡器中禁用Transfer-Encoding或Content-Length的混合使用。
3. 輸入驗證：嚴格校驗HTTP頭部格式，拒絕非標準或惡意字符（如\r\n、%0d%0a）。
4. 版本升級：及時更新服務器軟件（如Nginx、Apache、IIS），修復已知解析漏洞。
5. WAF防護：部署Web應用防火墻（WAF），攔截可疑請求（如包含多個請求的混合數據包）。
6. 網絡隔離：避免直接暴露后端服務器，通過代理或API網關統一處理請求。

五、真實案例

1. Apache Tomcat CVE-2021-33037：
   • 漏洞：Tomcat在某些配置下未正確解析Transfer-Encoding頭部，導致與反向代理（如Nginx）組合使用時可能發生請求走私。
   • 影響：攻擊者可繞過安全檢查，執行未授權操作（如訪問管理員接口）。
   • 修復：升級至Tomcat 8.5.67、9.0.47或更高版本。
2. 某電商平臺緩存投毒事件：
   • 攻擊：通過HTTP請求走私污染CDN緩存，向用戶返回惡意商品頁面，竊取支付信息。
   • 后果：數萬用戶數據泄露，平臺聲譽受損。
   • 教訓：需定期檢測緩存服務器安全性，并嚴格隔離前后端請求處理邏輯。

六、總結

? ? ? ?HTTP請求走私是一種高危漏洞，其本質是協議解析不一致性。攻擊者通過構造特殊請求，可繞過身份驗證、竊取數據或執行未授權操作。防御該漏洞需從協議規范、服務器配置、輸入驗證等多層面入手，結合自動化工具與人工審計，確保前后端解析邏輯的一致性。同時，關注安全公告，及時修復已知漏洞，是降低風險的關鍵。

?結語????

把事情一件一件做完

讓愿望一個一個實現

！！！