# En-têtes HTTP spéciaux
Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)! Autres façons de soutenir HackTricks : * Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) ! * Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com) * Découvrez [**La famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFT**](https://opensea.io/collection/the-peass-family) * **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-nous** sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.** * **Partagez vos astuces de piratage en soumettant des PR aux** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) dépôts GitHub.
## Listes de mots et outils * [https://github.com/danielmiessler/SecLists/tree/master/Miscellaneous/web/http-request-headers](https://github.com/danielmiessler/SecLists/tree/master/Miscellaneous/web/http-request-headers) * [https://github.com/rfc-st/humble](https://github.com/rfc-st/humble) ## En-têtes pour changer l'emplacement Réécrire **l'IP source** : * `X-Originating-IP: 127.0.0.1` * `X-Forwarded-For: 127.0.0.1` * `X-Forwarded: 127.0.0.1` * `Forwarded-For: 127.0.0.1` * `X-Forwarded-Host: 127.0.0.1` * `X-Remote-IP: 127.0.0.1` * `X-Remote-Addr: 127.0.0.1` * `X-ProxyUser-Ip: 127.0.0.1` * `X-Original-URL: 127.0.0.1` * `Client-IP: 127.0.0.1` * `X-Client-IP: 127.0.0.1` * `X-Host: 127.0.0.1` * `True-Client-IP: 127.0.0.1` * `Cluster-Client-IP: 127.0.0.1` * `Via: 1.0 fred, 1.1 127.0.0.1` * `Connection: close, X-Forwarded-For` (Vérifiez les en-têtes hop-by-hop) Réécrire **l'emplacement** : * `X-Original-URL: /admin/console` * `X-Rewrite-URL: /admin/console` ## En-têtes hop-by-hop Un en-tête hop-by-hop est un en-tête conçu pour être traité et consommé par le proxy gérant actuellement la requête, par opposition à un en-tête de bout en bout. * `Connection: close, X-Forwarded-For` {% content-ref url="../../pentesting-web/abusing-hop-by-hop-headers.md" %} [abusing-hop-by-hop-headers.md](../../pentesting-web/abusing-hop-by-hop-headers.md) {% endcontent-ref %} ## Contrebande de requêtes HTTP * `Content-Length: 30` * `Transfer-Encoding: chunked` {% content-ref url="../../pentesting-web/http-request-smuggling/" %} [http-request-smuggling](../../pentesting-web/http-request-smuggling/) {% endcontent-ref %} ## En-têtes de cache **En-têtes de cache serveur** : * **`X-Cache`** dans la réponse peut avoir la valeur **`miss`** lorsque la requête n'était pas mise en cache et la valeur **`hit`** lorsqu'elle est mise en cache * Comportement similaire dans l'en-tête **`Cf-Cache-Status`** * **`Cache-Control`** indique si une ressource est mise en cache et quand la ressource sera à nouveau mise en cache : `Cache-Control: public, max-age=1800` * **`Vary`** est souvent utilisé dans la réponse pour **indiquer des en-têtes supplémentaires** traités comme **partie de la clé de cache** même s'ils ne sont normalement pas clés. * **`Age`** définit en secondes le temps pendant lequel l'objet a été dans le cache du proxy. * **`Server-Timing: cdn-cache; desc=HIT`** indique également qu'une ressource a été mise en cache {% content-ref url="../../pentesting-web/cache-deception.md" %} [cache-deception.md](../../pentesting-web/cache-deception.md) {% endcontent-ref %} **En-têtes de cache local** : * `Clear-Site-Data` : En-tête pour indiquer le cache qui doit être supprimé : `Clear-Site-Data: "cache", "cookies"` * `Expires` : Contient la date/heure à laquelle la réponse doit expirer : `Expires: Wed, 21 Oct 2015 07:28:00 GMT` * `Pragma: no-cache` identique à `Cache-Control: no-cache` * `Warning` : L'en-tête HTTP général **`Warning`** contient des informations sur d'éventuels problèmes avec le statut du message. Plus d'un en-tête `Warning` peut apparaître dans une réponse. `Warning: 110 anderson/1.3.37 "Response is stale"` ## Conditionnels * Les requêtes utilisant ces en-têtes : **`If-Modified-Since`** et **`If-Unmodified-Since`** ne renverront des données que si l'en-tête de réponse **`Last-Modified`** contient une heure différente. * Les requêtes conditionnelles utilisant **`If-Match`** et **`If-None-Match`** utilisent une valeur Etag pour que le serveur Web envoie le contenu de la réponse si les données (Etag) ont changé. L'Etag est extrait de la réponse HTTP. * La valeur **Etag** est généralement **calculée en fonction** du **contenu** de la réponse. Par exemple, `ETag: W/"37-eL2g8DEyqntYlaLp5XLInBWsjWI"` indique que l'Etag est le **Sha1** de **37 octets**. ## Demandes de plage * **`Accept-Ranges`** : Indique si le serveur prend en charge les demandes de plage, et si c'est le cas, dans quelle unité la plage peut être exprimée. `Accept-Ranges: ` * **`Range`** : Indique la partie d'un document que le serveur doit renvoyer. * **`If-Range`** : Crée une demande de plage conditionnelle qui n'est satisfaite que si l'Etag ou la date donnée correspond à la ressource distante. Utilisé pour empêcher le téléchargement de deux plages à partir de versions incompatibles de la ressource. * **`Content-Range`** : Indique où dans un message complet un message partiel appartient. ## Informations sur le corps du message * **`Content-Length`** : La taille de la ressource, en nombre décimal d'octets. * **`Content-Type`** : Indique le type de média de la ressource * **`Content-Encoding`** : Utilisé pour spécifier l'algorithme de compression. * **`Content-Language`** : Décrit la ou les langues humaines destinées au public, permettant ainsi à un utilisateur de différencier selon sa propre langue préférée. * **`Content-Location`** : Indique un emplacement alternatif pour les données renvoyées. D'un point de vue de test d'intrusion, ces informations sont généralement "inutiles", mais si la ressource est **protégée** par un 401 ou 403 et que vous pouvez trouver un **moyen** de **récupérer** ces **informations**, cela pourrait être **intéressant**.\ Par exemple, une combinaison de **`Range`** et **`Etag`** dans une requête HEAD peut divulguer le contenu de la page via des requêtes HEAD : * Une requête avec l'en-tête `Range: bytes=20-20` et avec une réponse contenant `ETag: W/"1-eoGvPlkaxxP4HqHv6T3PNhV9g3Y"` divulgue que le SHA1 de l'octet 20 est `ETag: eoGvPlkaxxP4HqHv6T3PNhV9g3Y` ## Informations sur le serveur * `Server: Apache/2.4.1 (Unix)` * `X-Powered-By: PHP/5.3.3` ## Contrôles * **`Allow`**: Cet en-tête est utilisé pour communiquer les méthodes HTTP qu'une ressource peut gérer. Par exemple, il peut être spécifié comme `Allow: GET, POST, HEAD`, indiquant que la ressource prend en charge ces méthodes. * **`Expect`**: Utilisé par le client pour transmettre les attentes que le serveur doit satisfaire pour que la requête soit traitée avec succès. Un cas d'utilisation courant implique l'en-tête `Expect: 100-continue`, qui indique que le client a l'intention d'envoyer une charge utile de données importante. Le client attend une réponse `100 (Continue)` avant de poursuivre la transmission. Ce mécanisme aide à optimiser l'utilisation du réseau en attendant la confirmation du serveur. ## Téléchargements * L'en-tête **`Content-Disposition`** dans les réponses HTTP indique si un fichier doit être affiché **en ligne** (dans la page web) ou traité comme une **pièce jointe** (téléchargé). Par exemple : ``` Content-Disposition: attachment; filename="filename.jpg" ``` ## En-têtes de sécurité ### Politique de sécurité du contenu (CSP) {% content-ref url="../../pentesting-web/content-security-policy-csp-bypass/" %} [content-security-policy-csp-bypass](../../pentesting-web/content-security-policy-csp-bypass/) {% endcontent-ref %} ### **Types de confiance** En imposant les Trusted Types via CSP, les applications peuvent être protégées contre les attaques XSS DOM. Les Trusted Types garantissent que seuls des objets spécifiquement conçus, conformes aux politiques de sécurité établies, peuvent être utilisés dans des appels d'API web dangereux, sécurisant ainsi le code JavaScript par défaut. ```javascript // Feature detection if (window.trustedTypes && trustedTypes.createPolicy) { // Name and create a policy const policy = trustedTypes.createPolicy('escapePolicy', { createHTML: str => str.replace(/\/g, '>'); }); } ``` ```javascript // Assignment of raw strings is blocked, ensuring safety. el.innerHTML = 'some string'; // Throws an exception. const escaped = policy.createHTML(''); el.innerHTML = escaped; // Results in safe assignment. ``` ### **X-Content-Type-Options** Ce header empêche le sniffing de type MIME, une pratique qui pourrait entraîner des vulnérabilités XSS. Il garantit que les navigateurs respectent les types MIME spécifiés par le serveur. ``` X-Content-Type-Options: nosniff ``` ### **X-Frame-Options** Pour lutter contre le clickjacking, cet en-tête restreint la manière dont les documents peuvent être intégrés dans les balises ``, `