hacktricks/pentesting-web/http-connection-request-smuggling.md

HTTP接続リクエストスミグリング

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンにアクセスしたり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを見つけてください。独占的なNFTのコレクションです。
• 公式のPEASS＆HackTricksのグッズを手に入れましょう。
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterで🐦@carlospolopmをフォローしてください。
• ハッキングのトリックを共有するには、hacktricksリポジトリとhacktricks-cloudリポジトリにPRを提出してください。

接続状態攻撃

最初のリクエストの検証

リバースプロキシはしばしばHostヘッダーを使用して、各リクエストをどのバックエンドサーバーにルーティングするかを識別し、人々がアクセスを許可されているホストのホワイトリストを持っています。

しかし、一部のプロキシはこのホワイトリストを特定の接続で最初に送信されたリクエストにのみ適用します。これは、攻撃者が許可された宛先に対してリクエストを発行し、同じ接続で内部サイトに対してもリクエストを発行することで、攻撃者が内部のウェブサイトにアクセスできることを意味します。

GET / HTTP/1.1
Host: redacted

GET / HTTP/1.1
Host: intranet.redacted

幸いなことに、このミスは非常にまれです。

最初のリクエストのルーティング

最初のリクエストのルーティングは、フロントエンドが最初のリクエストのホストヘッダーを使用してどのバックエンドにリクエストをルーティングするかを決定し、その後同じクライアント接続からのすべての後続のリクエストを同じバックエンド接続にルーティングする場合に発生します。

GET / HTTP/1.1
Host: example.com

POST /pwreset HTTP/1.1
Host: psres.net

これは、パスワードリセットの中毒化、ウェブキャッシュの中毒化、および他の仮想ホストへのアクセスを獲得するなど、ホストヘッダー攻撃と組み合わせることができます。

{% hint style="info" %} HTTPリクエストスマガラーの「connection-state probe」オプションを使用して、これらの2つの脆弱性をスキャンすることができます。 {% endhint %}

参考文献

• https://portswigger.net/research/browser-powered-desync-attacks

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• サイバーセキュリティ企業で働いていますか？ HackTricksで会社を宣伝したいですか？または、PEASSの最新バージョンを入手したり、HackTricksをPDFでダウンロードしたいですか？SUBSCRIPTION PLANSをチェックしてください！
• The PEASS Familyを発見しましょう、私たちの独占的なNFTのコレクション
• 公式のPEASS＆HackTricksのスワッグを手に入れましょう
• 💬 Discordグループまたはtelegramグループに参加するか、Twitterで私をフォローしてください🐦@carlospolopm.
• **ハッキングのトリックを共有するには、hacktricks repoとhacktricks-cloud repo**にPRを提出してください。