每日漏洞系列（十三）：详解HTTP请求走私

一、引言

大家好！今天我们要聊的话题是------HTTP请求走私（HTTP Request Smuggling）。这是一个相对较新的Web攻击技术，它利用了前端服务器和后端服务器之间的通信漏洞，来实现恶意操作。接下来，我们将详细探讨什么是HTTP请求走私、它的工作原理以及如何防御这种攻击。

二、HTTP基础知识

在深入探讨HTTP请求走私之前，我们先来了解一些HTTP的基础知识。HTTP（HyperText Transfer Protocol）是Web应用的基础协议，它定义了客户端与服务器之间的数据传输格式。

1. HTTP的工作原理

HTTP是一个请求-响应协议，客户端（通常是浏览器）向服务器发送请求，服务器处理请求并返回响应。每个HTTP请求和响应都包含三个部分：

• 请求/响应行：描述请求的类型（如GET、POST）或响应的状态（如200 OK）。
• 头部（Headers）：包含请求或响应的元数据（如Content-Type、Content-Length）。
• 主体（Body）：包含实际的数据（如表单数据、文件内容）。

一个典型的HTTP请求如下：

GET /index.html HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0
Accept: text/html

而服务器的响应可能是这样：

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 1234

<html>
<body>
<h1>Hello, World!</h1>
</body>
</html>

2. 前端服务器与后端服务器

在实际应用中，Web架构通常由前端服务器（如Nginx、Apache）和后端服务器（如Tomcat、Node.js）组成。前端服务器负责处理客户端请求，并将请求转发给后端服务器进行处理。但这种架构引入了一些新的攻击面：HTTP请求走私。

三、HTTP请求走私详解

HTTP请求走私利用前端和后端服务器之间解析HTTP请求的差异。攻击者可以提交一个由两个或多个请求合并而成的一个请求，使得服务器在解析请求时产生混淆，进而执行未授权的操作。

1. HTTP请求走私的原理

HTTP请求走私利用了HTTP请求中头部解析的不一致性，特别是对Content-Length和Transfer-Encoding头部的处理。不同的服务器对这些头部的解析方式可能不同，从而导致解析结果的差异。

Content-Length与Transfer-Encoding

在HTTP/1.1中，Content-Length和Transfer-Encoding是两个用来描述请求主体长度的头部：

• Content-Length：指定请求主体的字节数。
• Transfer-Encoding ：指定请求主体的传输编码方式，常见值是chunked，表示分块传输。

解析方式的不一致性

前端和后端服务器对这些头部的解析方式可能不同，导致解析结果不一致。例如：

• 前端服务器可能优先处理Transfer-Encoding，忽略Content-Length。
• 后端服务器可能优先处理Content-Length，忽略Transfer-Encoding。

这种不一致性造成了HTTP请求走私攻击。

示例一：基本请求走私

假设有一个前端服务器A和一个后端服务器B，攻击者发送如下请求：

POST / HTTP/1.1
Host: victim.com
Content-Length: 13
Transfer-Encoding: chunked

0

GET /admin HTTP/1.1
Host: victim.com

• 前端服务器A解析到Transfer-Encoding: chunked，认为请求主体是分块传输的，但在读取第一个块（0表示结束）后认为请求结束。
• 后端服务器B则根据Content-Length: 13继续读取剩余数据，将GET /admin HTTP/1.1作为一个新请求进行处理。

这样，攻击者就成功将自己的请求走私到服务器B。

2. HTTP请求走私的其他可能方式

CL.TE与TE.CL

• CL.TE（Content-Length + Transfer-Encoding） ：前端服务器使用Content-Length，而后端服务器使用Transfer-Encoding。这种情况下，前端服务器会根据Content-Length处理请求，而后端服务器会根据Transfer-Encoding继续处理剩余的数据，导致请求走私。

• TE.CL（Transfer-Encoding + Content-Length） ：前端服务器使用Transfer-Encoding，而后端服务器使用Content-Length。前端服务器会根据Transfer-Encoding处理请求，后端服务器会根据Content-Length读取额外数据，导致请求走私。

HTTP/1.1与HTTP/2

• HTTP/1.1与HTTP/2之间的转换：有些前端服务器可能将HTTP/2请求转换为HTTP/1.1请求再转发给后端服务器，或反之。在这种转换过程中，如果解析不一致，也可能导致请求走私。

四、防御措施

• 统一解析策略 ：确保前端和后端服务器对HTTP请求的解析策略一致。特别是对于Content-Length和Transfer-Encoding头部的处理保持一致。

• 禁用不必要的头部 ：如果应用不需要使用分块传输，建议禁用Transfer-Encoding: chunked头。

防御示例

以下是一些具体的防御配置示例：

示例一：Nginx配置

在Nginx中，可以通过以下配置禁用分块传输：

http {
    server {
        listen 80;
        server_name example.com;
        
        location / {
            proxy_pass http://backend;
            proxy_set_header Transfer-Encoding "";
            proxy_set_header Content-Length $proxy_add_header;
        }
    }
}

示例二：Apache配置

在Apache中，可以通过以下配置确保解析一致性：

<VirtualHost *:80>
    ServerName example.com
    
    # 禁用分块传输
    RequestHeader unset Transfer-Encoding
    
    ProxyPass / http://backend/
    ProxyPassReverse / http://backend/
</VirtualHost>

结语

希望这篇文章能帮你更好地理解HTTP请求走私攻击及其防御方法。如果你有任何问题，欢迎在评论区讨论！