回答情况:
提问时间:
问题标签:
嘿Stackoverflow专家, 我想知道NodeJS/Express服务器是否容易受到“请求走私”的影响,如下所示: https://portswigger.net/research/http-desync-attacks-request-smuggling-reborn我不确定Node/Express是否可以访问块HTTP请求?只有完整的请求? 有人对此有什么见解吗?
浏览 14提问于2019-10-09得票数 3
2回答
我目前正在努力学习HTTP请求走私漏洞,以进一步提高我的笔试技能。我在Youtube上看过几段视频,也在网上读过关于它的文章,但我仍然有几个问题要问:向流量高的公司提供PoC的主要方式是什么?我知道HTTP走私可能会窃取人们的饼干,这是用于PoC还是这是非法的?对于CL & TE头,我也有点困惑。根据我的观察,如果前端和后端对CL & TE头的解释不同,应用程序
浏览 0修改于2020-09-16得票数 0
回答已采纳
我需要禁用在http管理器3.2.0中以块格式接收HTTP数据包,以防止wso2请求走私、web缓存存储和其他服务器攻击--我可以这样做吗?
浏览 3提问于2022-01-10得票数 0
回答已采纳
我正在为一篇文章从网络安全的角度研究HTTP/2的信息,我想包含一个关于HTTP/2独占攻击的部分,或者这个协议是否具有关键作用。我已经在HTTP/2中获得了关于请求走私的信息,但是很难找到与此协议相关的其他类型的攻击。还有其他与HTTP/2协议相关的攻击吗?
浏览 0提问于2022-09-20得票数 1
回答已采纳
几天前,我读到了关于请求走私漏洞的文章。就在那之后,我开始在网上找到它。昨天,我发现了一个网站,当我将X-Forwarded-Host: google.com添加到标头时,它会将我重定向到。很难利用这一点,所以我考虑把它和请求走私结合起来。但是,我仍然想继续,所以我下载了HTTP请求走私者和Turbo入侵者扩展在Burp套件上。然后我就走私攻击(CL.TE)。它给出了走私攻击python代码:
# if you ed
浏览 1提问于2020-02-13得票数 0
回答已采纳
CVE-2022-22720 (ApacheHTTPServer2.4.52漏洞)提到,风险在于HTTP走私。当服务器A有一些关于如何处理请求的情报时,我发现这是一个问题。例如,它终止了一个调用,做出了一些授权决定,并向B请求了一些东西,而B却盲目地提供了一些东西。
但是,如果A只是一个负载均衡器,而到达B的请求是完全由B授权的?HTT
浏览 0提问于2022-03-25得票数 1
回答已采纳
我对HTTP请求走私漏洞有很好的理解,但是我仍然需要澄清的一点是,它们是域/子域宽还是目录范围宽?我的意思是:如果HTTP请求走私漏洞是由于前端服务器和任何后端服务器之间的配置差异而产生的,那么这是否意味着您应该只在整个域/子域中的单个POST参数上测试该漏洞?我们还假设example.com及其两个子域有两个目录(每个目录),您可以向其发出POST请求。
所有这些都表明,在测试HTTP请求走私时,在每个POSTable请求和每个目
浏览 0修改于2022-08-25得票数 0
回答已采纳
*这里是ModSecurity HitList的触发项
921110: HTTP请求走私攻击请求: POST / Warning /post.php动作描述:警告。理由:模式匹配"(?941100:通过libinjection请求检测到XSS攻击: POST / Warning /post.php动作描述:警告。理由:使用液体注射检测XSS。941160: NoScript XSS InjectionChecker: HTML请求
浏览 9修改于2022-01-13得票数 1
回答已采纳
我最近读到了关于请求走私的文章。这是一次我不知道的非常有趣的袭击。最近在斯拉克发现了一个漏洞,并负责任地披露了这一点,并颁发了赏金。这篇链接文章说:请求走私使用的事实是,多个请求跨越一个连接。
我的问题是:这种联系是什么?我是人际关系网的新手。更新:如果有人可以包括一个示例(最好是Python中的例子),说明如何在同一个连接上发送多个请求,那将是有帮助的。
浏览 0修改于2020-03-14得票数 3
1回答
我们用包含Transfer-Encoding的头阻止请求。只有具有内容长度的请求才会以任何方式对应用程序产生allowed.This影响,以及如何在请求中发送transfer-encoding或Content-length。
浏览 10修改于2022-02-04得票数 0
我正在努力了解更多关于HTTP请求走私的信息,我一直在阅读本文(https://portswigger.net/web-security/request-smuggling)。如果我数一下0之前的新行,0和“走私”之间的新行数,总数是12?我是否也在“传输编码:分块”之后计算换行符?
浏览 0提问于2020-04-27得票数 3
回答已采纳
帮助我升级我的apache,有一个安全问题2.4.7我试着升级和更新,看起来仍然是2.4.7。
浏览 0提问于2015-12-23得票数 0
回答已采纳
阅读这篇文章时,我选择将图片大小调整为1px,以阻止内容走私攻击:
但出于某种原因,透明gif的背景是黑色的。我的最终目的是避免可能的攻击,所以有没有关于如何用一种不同的方式而不是调整大小的想法?或者有没有人有通过保留格式来调整透明gif大小的代码?
浏览 0修改于2017-05-23得票数 0
它说,已经检测到一个名为"HTTP请求走私“的漏洞。我的服务器环境如下。我再次扫描,再次检测到"HTTP请求走私“漏洞。我对这个问题的细节和它的工作原理不感兴趣。如果您遇到过类似的事件,请告诉我解决方案。请?
浏览 2提问于2020-06-19得票数 2
我正在尝试使用Burp Suite BApp商店中的应用程序,但是每当我打开请求的上下文菜单并按下“启动走私探测器”时,我就会得到这样的结果
"Attack Config“窗口太大了,我无法将其移动到足够高的位置以查看底部的选项
浏览 1提问于2019-11-01得票数 0
我正在学习“利用HTTP请求走私绕过前端安全控制,TE.CL漏洞”,我发现长度可以设置为20、30等。在一定的范围内,我可以随意设置内容长度的值。
浏览 0修改于2023-01-12得票数 0
我试图了解有关http请求走私,我尝试实验室的打嗝套件。I卡在TE.CL漏洞上,我点击了解决方案(参见下面的:https://portswigger.net/web-security/request-smuggling/lab-basic-te-cl),但请求只是超时
浏览 0提问于2019-10-04得票数 1
这里有一个几乎相同的问题:,但问题是不同的;而不是在请求的其他部分走私其他变量,图像本身必须作为一个变量发送,因为Facebook征用帖子数据并放入自己的垃圾。
这有可能吗?
浏览 0修改于2017-05-23得票数 1
回答已采纳
在我的HTTP应用程序中,我想解决ASP.NET请求走私漏洞问题。 我想如果我阻止带有"Transfer-Encoding: chunked“头的请求就足够了。在IIS管理菜单上,我为此添加了新的请求过滤规则。然而,这似乎并没有解决问题。 我编写了一些.NET代码来测试IIS在发送分块内容时是否会生成404错误。
浏览 207提问于2020-03-16得票数 1
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号