HTTP请求走私
描述:http请求走私
当网站通过Web服务器路由HTTP不一致的HTTP解析时,HTTP请求走私漏洞会出现。beplay体育能用吗
通过提供不同的服务器解释为具有不同长度的请求,攻击者可以毒化后端TCP/TLS插座,并将任意数据预定到下一个请求。根据网站的功能,可以用来绕过前端安beplay体育能用吗全规则,访问内部系统,毒药缓存以及对积极浏览该网站的用户的各种攻击。
修复:HTTP请求走私
您可以通过配置前端服务器在与后端系统通信时专门使用HTTP/2来解决此漏洞的所有变体。另外,您可以确保链中的所有服务器都以相同的配置运行相同的Web服务器软件。beplay体育能用吗禁用后端连接重复使用可能会减少此漏洞的影响,但并不能减轻所有可能的利用。
可以通过重新配置前端服务器以使其对歧义请求进行正常化的要求来解决此漏洞的特定实例。另外,您可以配置后端服务器以拒绝消息并在遇到模棱两可的请求时关闭连接。
参考
脆弱性分类
典型的严重程度
高的
类型索引(HEX)
0x00200140
类型索引(十进制)
2097472