HackTricksBrowser HTTP Request Smuggling
Reading time: 3 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Browser-powered desync (aka client-side request smuggling) koristi žrtvin pretraživač da bi dodao neispravno oblikovan zahtev na zajedničku vezu, tako da se naredni zahtevi analiziraju van sinhronizacije od strane komponenti nizvodno. Za razliku od klasičnog FE↔BE smuggling-a, payload-ovi su ograničeni onim što pretraživač može legalno poslati između različitih domena.
Ključna ograničenja i saveti
- Koristite samo zaglavlja i sintaksu koju pretraživač može emitovati putem navigacije, fetch-a ili slanja formi. Obfuscacije zaglavlja (LWS trikovi, dupliranje TE, nevažeći CL) obično neće biti poslate.
- Ciljajte krajnje tačke i posrednike koji reflektuju ulaze ili keširaju odgovore. Korisni uticaji uključuju trovanje keša, curenje zaglavlja umetnutih na front-end-u ili zaobilaženje kontrole putanje/metode na front-end-u.
- Ponovna upotreba je važna: uskladite kreirani zahtev tako da deli istu HTTP/1.1 ili H2 vezu kao zahtev visoke vrednosti žrtve. Ponašanja zaključana na vezu/državna ponašanja pojačavaju uticaj.
- Preferirajte primitivne metode koje ne zahtevaju prilagođena zaglavlja: konfuzija putanje, injekcija upitnog niza i oblikovanje tela putem form-encoded POST-ova.
- Validirajte stvarnu desinkronizaciju na serverskoj strani naspram običnih artefakata cevi ponovnim testiranjem bez ponovne upotrebe, ili korišćenjem HTTP/2 provere ugnježdenog odgovora.
Za tehnike od kraja do kraja i PoC-ove pogledajte:
- PortSwigger Research – Browser‑Powered Desync Attacks: https://portswigger.net/research/browser-powered-desync-attacks
- PortSwigger Academy – client‑side desync: https://portswigger.net/web-security/request-smuggling/browser/client-side-desync
References
- https://portswigger.net/research/browser-powered-desync-attacks
- https://portswigger.net/web-security/request-smuggling/browser/client-side-desync
- Distinguishing pipelining vs smuggling (background on reuse false-positives): https://portswigger.net/research/how-to-distinguish-http-pipelining-from-request-smuggling
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.