HTTP request smuggling

HTTP Request Smuggling is een aanvalsmethode waarbij een aanvaller probeert om de manier waarop HTTP-verzoeken tussen de client en de server worden verwerkt te manipuleren. De aanvaller maakt gebruik van verschillende interpretaties van de HTTP-specificatie door verschillende componenten die betrokken zijn bij het verwerken van het verzoek, zoals caches, proxies en webservers.

Bij HTTP Request Smuggling probeert de aanvaller de server te laten geloven dat er één verzoek wordt verzonden, terwijl er in werkelijkheid meerdere verzoeken worden verzonden. Dit wordt bereikt door speciaal geconstrueerde HTTP-verzoeken te maken die de tussenliggende componenten van de server in verwarring brengen en resulteren in onverwachte gedragingen. Dit kan leiden tot verschillende beveiligingsrisico's, zoals het verkrijgen van toegang tot ongeautoriseerde informatie, het uitvoeren van kwaadaardige code of het omzeilen van beveiligingscontroles.

Er zijn verschillende technieken die worden gebruikt bij HTTP Request Smuggling, waaronder het gebruik van ongeldige tekens in HTTP-headers, het manipuleren van de inhoud van verzoeken en het gebruik van verschillende verzoekmethoden.