hacktricks/pentesting-web/http-connection-request-smuggling.md

HTTP Connection Request Smuggling

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Check the subscription plans!
• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

{% endhint %}

Ceci est un résumé du post https://portswigger.net/research/browser-powered-desync-attacks

Attaques d'état de connexion

Validation de la première requête

Lors du routage des requêtes, les proxys inverses peuvent dépendre de l'en-tête Host pour déterminer le serveur back-end de destination, s'appuyant souvent sur une liste blanche d'hôtes autorisés. Cependant, une vulnérabilité existe dans certains proxys où la liste blanche n'est appliquée que sur la requête initiale dans une connexion. Par conséquent, les attaquants pourraient exploiter cela en effectuant d'abord une requête vers un hôte autorisé, puis en demandant un site interne via la même connexion :

GET / HTTP/1.1
Host: [allowed-external-host]

GET / HTTP/1.1
Host: [internal-host]

First-request Routing

Dans certaines configurations, un serveur frontal peut utiliser le header Host de la première requête pour déterminer le routage en arrière-plan pour cette requête, puis acheminer de manière persistante toutes les requêtes suivantes provenant de la même connexion client vers la même connexion en arrière-plan. Cela peut être démontré comme :

GET / HTTP/1.1
Host: example.com

POST /pwreset HTTP/1.1
Host: psres.net

Ce problème peut potentiellement être combiné avec les attaques par en-tête Host, telles que le poisoning de réinitialisation de mot de passe ou le poisoning de cache web, pour exploiter d'autres vulnérabilités ou obtenir un accès non autorisé à des hôtes virtuels supplémentaires.

{% hint style="info" %} Pour identifier ces vulnérabilités, la fonctionnalité 'connection-state probe' dans HTTP Request Smuggler peut être utilisée. {% endhint %}

{% hint style="success" %} Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

• Consultez les plans d'abonnement!
• Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
• Partagez des astuces de hacking en soumettant des PRs aux HackTricks et HackTricks Cloud dépôts github.

{% endhint %}