HTTP请求走私攻击详解<\/h1>

漏洞成因<\/h2>

Keep-Alive与Pipeline机制<\/h3>

HTTP\/1.1中默认启用了两个关键特性：<\/p>

Keep-Alive<\/strong>：通过Connection: Keep-Alive<\/code>请求头告知服务器不要关闭TCP连接，后续请求可重用同一连接，减少握手开销。<\/p> <\/li>

Pipeline<\/strong>：客户端可以像流水线一样连续发送多个HTTP请求，而不必等待服务器响应。服务器需遵循先入先出机制处理请求。<\/p> <\/li> <\/ol> 关键头部：CL与TE<\/h3> Content-Length (CL)<\/strong>：指定请求主体的字节长度。<\/p> <\/li> Transfer-Encoding (TE)<\/strong>：指定传输编码方式，重点关注chunked<\/code>：<\/p> 数据被分成一系列块发送<\/li> 每个块格式：[十六进制长度]\r\n[数据]\r\n<\/code><\/li> 终止块：0\r\n\r\n<\/code><\/li> 示例： b\r\n q=smuggling\r\n 6\r\n hahaha\r\n 0\r\n \r\n <\/code><\/pre> <\/li> <\/ul> <\/li> <\/ol> RFC规范<\/strong>：当CL和TE同时出现时，Content-Length应被忽略。但不同服务器实现不一致导致漏洞。<\/p> 攻击类型<\/h2> 1. CL-TE攻击<\/h3> 前置服务器<\/strong>：优先处理Content-Length 后端服务器<\/strong>：优先处理Transfer-Encoding<\/p> 示例攻击请求<\/strong>：<\/p> POST \/ HTTP\/1.1 Host: example.com Content-Length: 6 Transfer-Encoding: chunked 0 A <\/code><\/pre> 前置服务器认为整个请求长度为6字节(0\r\n\r\n<\/code>)<\/li> 后端服务器处理到0\r\n\r\n<\/code>认为请求结束<\/li> 剩余的"A"会与下个请求拼接<\/li> <\/ul> 2. TE-CL攻击<\/h3> 前置服务器<\/strong>：优先处理Transfer-Encoding 后端服务器<\/strong>：优先处理Content-Length<\/p> 示例攻击请求<\/strong>：<\/p> POST \/ HTTP\/1.1 Host: example.com Content-Length: 4 Transfer-Encoding: chunked 17 POST \/secret HTTP\/1.1 0 <\/code><\/pre> 前置服务器处理整个分块请求<\/li> 后端服务器只读取前4字节(17\r\n<\/code>)<\/li> 剩余部分成为走私请求<\/li> <\/ul> 3. TE-TE攻击<\/h3> 通过混淆TE头部使前后端解析不一致：<\/p> 混淆方式<\/strong>：<\/p> Transfer-Encoding: xchunked<\/code><\/li> Transfer-Encoding[空格]: chunked<\/code><\/li> Transfer-Encoding: chunked\r\nTransfer-Encoding: x<\/code><\/li> [空格]Transfer-Encoding: chunked<\/code><\/li> X: X[\n]Transfer-Encoding: chunked<\/code><\/li> <\/ul> 漏洞利用场景<\/h2> 绕过安全限制<\/strong>：绕过前置服务器的访问控制<\/li> 窃取用户请求<\/strong>：获取其他用户的敏感数据如Cookie<\/li> 反射型XSS<\/strong>：组合利用实现XSS<\/li> 重定向攻击<\/strong>：将站内重定向变为开放重定向<\/li> 缓存投毒<\/strong>：污染缓存内容<\/li> 缓存欺骗<\/strong>：欺骗缓存系统存储恶意内容<\/li> <\/ol> 实例分析：窃取用户请求<\/h2> 攻击请求<\/strong>：<\/p> POST \/ HTTP\/1.1 Host: vulnerable.com Content-Length: 325 Transfer-Encoding: chunked 0 POST \/post\/comment HTTP\/1.1 Host: vulnerable.com Content-Length: 665 Content-Type: application\/x-www-form-urlencoded Cookie: attacker_session=... csrf=...&postId=3&comment=a <\/code><\/pre> 效果<\/strong>：<\/p> 后端处理完初始请求后，缓冲区保留评论提交请求<\/li> 当其他用户请求到达时，会被拼接到评论的comment参数中<\/li> 攻击者可在页面查看其他用户的完整请求<\/li> <\/ol> 防御措施<\/h2> 禁用连接重用<\/strong>：在代理与后端间禁用TCP连接重用<\/li> 升级HTTP\/2<\/strong>：HTTP\/2的二进制帧机制天然防御此类攻击<\/li> 统一服务器<\/strong>：前后端使用相同服务器软件<\/li> 严格实现RFC<\/strong>：正确处理CL和TE头部<\/li> 规范化处理<\/strong>：拒绝非标准TE头部<\/li> <\/ol> HTTP\/2的防御原理<\/h2> 使用二进制帧而非文本格式<\/li> 每个帧有明确编号和长度<\/li> 单个TCP连接可承载多个双向流<\/li> 不再依赖换行符分隔请求<\/li> 天然支持多路复用，无需Pipeline<\/li> <\/ol> 总结<\/h2> HTTP请求走私攻击利用前后端服务器对请求边界解析不一致的漏洞，通过精心构造的CL和TE头部实现请求注入。防御关键在于规范实现和统一解析逻辑，升级到HTTP\/2是最彻底的解决方案。<\/p>