4.5 KiB
अपग्रेड हेडर स्मग्लिंग
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!
HackTricks का समर्थन करने के अन्य तरीके:
- अगर आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
- आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
- हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
- शामिल हों 💬 डिस्कॉर्ड ग्रुप या टेलीग्राम ग्रुप या हमें ट्विटर 🐦 @carlospolopm** पर फॉलो** करें।
- हैकिंग ट्रिक्स साझा करें और PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।
Try Hard सुरक्षा समूह
{% embed url="https://discord.gg/tryhardsecurity" %}
H2C स्मग्लिंग
क्लियरटेक्स्ट पर HTTP2 (H2C)
H2C, या क्लियरटेक्स्ट पर http2, सामान्य HTTP कनेक्शन को एक स्थायी कनेक्शन में अपग्रेड करके अस्थायी HTTP कनेक्शनों की सामान्यता से भिन्न है। यह अपग्रेड कनेक्शन http2 बाइनरी प्रोटोकॉल का उपयोग जारी संचार के लिए करता है, जिसे सादा HTTP की एकल-अनुरोध स्वरूप के विपरीत किया जाता है।
स्मग्लिंग मुद्दे की मूल बात एक रिवर्स प्रॉक्सी के उपयोग से उत्पन्न होती है। सामान्यत: रिवर्स प्रॉक्सी HTTP अनुरोधों को प्रसंस्करण करता है और बैकएंड को फॉरवर्ड करता है, उसके बाद बैकएंड की प्रतिक्रिया लौटाता है। हालांकि, जब HTTP अनुरोध में Connection: Upgrade हेडर मौजूद होता है (जिसे आमतौर पर वेबसॉकेट कनेक्शन्स के साथ देखा जाता है), तो रिवर्स प्रॉक्सी ग्राहक और सर्वर के बीच एक स्थायी कनेक्शन बनाए रखता है, जिससे कुछ प्रोटोकॉल्स द्वारा आवश्यक निरंतर विनिमय सुनिश्चित होता है। H2C कनेक्शन के लिए, RFC का पालन करने के लिए तीन विशिष्ट हेडर्स की उपस्थिति आवश्यक है:
Upgrade: h2c
HTTP2-Settings: AAMAAABkAARAAAAAAAIAAAAA
Connection: Upgrade, HTTP2-Settings
यह वंरबिलिटी उत्पन्न होती है जब, एक कनेक्शन को अपग्र