近日，HTTP 请求走私不仅受到关注，而且其影响可能是有害的，具体取决于代理背后的服务器的配置方式。威胁行为者使用这种技术来干扰网站处理一系列 HTTP 请求的方式，利用任何不一致。HTTP 请求走私是一种漏洞，由于过去几个月的大量高薪漏洞赏金报告而引起了社区的广泛关注。

国际知名白帽黑客、东方联盟创始人郭盛华透露：“当多个请求从前端服务器转发到后端服务器时，攻击就起作用了，后端服务器然后不同意每条消息的结束位置。这允许攻击者插入一条恶意消息，后端服务器将其解释为两个单独的 HTTP 请求。”

HTTP请求走私是一种干扰网站处理HTTP请求序列方式的技术，使攻击者可以绕过安全控制，未经授权访问敏感数据并直接危害其他应用程序用户。

一旦威胁参与者绕过最初的安全控制，他们就可以造成各种破坏。走私漏洞可能使攻击者能够访问被禁止的资源，例如站点管理、劫持用户的 Web 会话和查看敏感数据。它还为其他攻击打开了大门，包括没有用户交互的跨站点脚本 (XSS)、缓存中毒、绕过防火墙保护和凭证劫持。在缓存中毒攻击期间，不良行为者以缓存服务器为目标，根据请求向用户呈现错误的页面。

不包含负载平衡器、内容交付网络 (CDN) 和反向代理的网站通常可以避免 HTTP 请求走私。如果网站前端配置为专门使用 HTTP/2 与后端服务器通信，则可以轻松解决此类漏洞的变体。

郭盛华表示：“如果完全禁用后端连接重用，则此漏洞不会构成威胁。任何不想将其客户暴露于此类威胁的 CDN 也可以配置前端服务器，以便在将不明确地请求转发到后端之前对其进行规范化。最终，确保管理 Web 端点和敏感材料受到强大的身份验证机制的保护，而不是外部代理或防火墙中的简单访问控制列表 (ACL) 规则。”

此外，记录的 HTTP 流量应始终仅对管理用户可用，无论记录了 HTTP 请求的哪一部分 ，以避免将 HTTP 请求的意外部分暴露给潜在的攻击者。（欢迎转载分享）