HTTP请求走私研究

HTTP请求走私是一种用于攻击由多个服务器组成的网站的高级技术。beplay体育能用吗通过发送含糊不清的HTTP请求来启动攻击,该HTTP请求由服务器解释为不同的长度。这导致它们从攻击者和合法用户中解除同步,并合并请求和响应。

这最终可能导致广泛的严重影响。这些包括让攻击者窃取纯粹的密码,并毒物缓存持续妥协像登录页面这样的关键功能。它于2004年首次记录,但在我们在2019年重新审视它之前,我们基本遗忘。我们建立了现有的索取现代技术和工具的请求走私研究,沿途造成七家Bug奖金。

HTTP请求走私研究

我们提出了HTTP DESYNC攻击:请求走私重生在黑帽子美国和def con。这使得该技术逐步推出了一波发现和斑块。

我们还发布了一系列互动实验室作为我们的Web安全学院的一部beplay体育能用吗分,因此您可以练习将技术应用于真实系统。

自从发布我们的初始请求走私研究以来,我们已经向该攻击技术提供了更多新颖的技术和工具的定期更新。

HTTP请求走私研究文章