什么是“跟踪主机标题”，我如何测试它？

Question

我的团队一直在做一些基于今年在黑帽子发布的WAF测试工具的WAF保护的研究。在这个工具中，有一个主机名规避测试列表--这实际上只是一个手动测试思路的概要。

只有一个问题让我们感到困惑--什么是“拖尾主机头”作为主机名规避技术？

有人能建议对此进行可行的测试吗？

Answer 1

客户端使用主机标头来指示要用哪个服务器名说话。多个网站可以从一个IP地址服务。

在HTTP协议中，数据可以以多个块的形式发送。如果服务器在完成请求之前不知道数据的大小(例如，在完成请求之前开始发送某些结果的活动流或web应用程序)，则这尤其有用。

详细信息请参见3.6.1分组传输编码：

块大小字段是一串表示块大小的十六进制数字。分块编码以大小为零的任何块结束，后跟以空行结束的拖车。该预告栏允许发送方在消息的末尾包含额外的HTTP头字段。

即使客户端正在上传未知大小的东西，它也会知道目标位置，然后打开连接。因此，将header放入数据后面的尾部部分是没有意义的。

如果请求由处理访问规则的反向代理(也称为web应用防火墙)处理，则这种情况可能会被利用:反向代理可能会看到主机头中的一个，但web应用程序可能会看到另一个。