HackTricksBrowser HTTP Request Smuggling
Reading time: 3 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Browser-powered desync (pia client-side request smuggling) inatumia kivinjari cha mwathirika kuingiza ombi lililo na muundo mbaya kwenye muunganisho wa pamoja ili ombi zinazofuata zipaswe kwa kutokulingana na kipengele cha chini. Tofauti na smuggling ya jadi ya FE↔BE, mzigo umefungwa na kile ambacho kivinjari kinaweza kutuma kisheria kati ya vyanzo tofauti.
Key constraints and tips
- Tumia tu vichwa na sintaksia ambayo kivinjari kinaweza kutoa kupitia urambazaji, fetch, au uwasilishaji wa fomu. Ujanja wa vichwa (LWS tricks, duplicate TE, invalid CL) kwa ujumla hautatumika.
- Lenga maeneo ya mwisho na wapatanishi wanaoonyesha maoni au kuhifadhi majibu. Athari zinazofaa ni pamoja na kuharibu cache, kuvuja vichwa vilivyowekwa kwenye upande wa mbele, au kupita udhibiti wa njia/method kwenye upande wa mbele.
- Kurejelea ni muhimu: sambaza ombi lililotengenezwa ili liwe na muunganisho sawa wa HTTP/1.1 au H2 kama ombi la mwathirika wa thamani kubwa. Tabia zilizofungwa kwenye muunganisho/zilizo na hali huongeza athari.
- Prefer primitives ambazo hazihitaji vichwa maalum: kuchanganya njia, kuingiza mfuatano wa swali, na kuunda mwili kupitia POST zilizowekwa kwa fomu.
- Thibitisha kutokulingana kwa upande wa seva halisi dhidi ya artefacts za tu pipelining kwa kujaribu tena bila kurejelea, au kwa kutumia ukaguzi wa majibu ya ndani ya HTTP/2.
For end-to-end techniques and PoCs see:
- PortSwigger Research – Browser‑Powered Desync Attacks: https://portswigger.net/research/browser-powered-desync-attacks
- PortSwigger Academy – client‑side desync: https://portswigger.net/web-security/request-smuggling/browser/client-side-desync
References
- https://portswigger.net/research/browser-powered-desync-attacks
- https://portswigger.net/web-security/request-smuggling/browser/client-side-desync
- Distinguishing pipelining vs smuggling (background on reuse false-positives): https://portswigger.net/research/how-to-distinguish-http-pipelining-from-request-smuggling
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.