强大的HTTP请求走私检测工具

0x00 介绍

HTTP 请求走私是一个高严重性漏洞，攻击者通过走私模糊的 HTTP 请求来绕过安全控制并获得未经授权的访问来执行恶意活动，该漏洞早在 2005 年就被 watchfire 发现，并于 2019 年 8 月重新发布。由 James Kettle（albinowax）发现并在 DEF CON 27 和 Black-Hat USA 上展示，要了解有关此漏洞的更多信息，您可以参考他在 Portswigger 网站上记录齐全的研究博客。因此，这个安全工具背后的想法是检测给定主机的 HRS 漏洞，并且检测是基于给定排列的时间延迟技术进行的，因此要了解有关此工具的更多信息，我强烈建议您阅读我的博客文章这个工具。

该工具是使用 python 编写的，要使用该工具，您必须在本地计算机上安装 python 版本 3.x。它接受您需要在文本文件中提供的一个 URL 或 URL 列表的输入，并通过遵循 HRS 漏洞检测技术，该工具具有内置有效负载，其中包含 CL.TE 和 CL.TE 的大约 37 个排列和检测有效负载TE.CL 对于每个给定的主机，它将使用这些有效负载生成攻击请求对象，并计算收到每个请求的响应后经过的时间并确定漏洞，但大多数情况下它可能是误报，因此确认漏洞后，您可以使用 burp-suite Turbo intruder 并尝试您的有效负载。

0x01 获取工具

HTTP请求走私检测工具

https://github.com/anshumanpattnaik/http-request-smuggling

原文始发于微信公众号（重生者安全）：强大的HTTP请求走私检测工具