强大的HTTP请求走私检测工具

admin 2024年5月21日19:59:46评论5 views字数 650阅读2分10秒阅读模式

 

0x00 介绍

HTTP 请求走私是一个高严重性漏洞,攻击者通过走私模糊的 HTTP 请求来绕过安全控制并获得未经授权的访问来执行恶意活动,该漏洞早在 2005 年就被 watchfire 发现,并于 2019 年 8 月重新发布。由 James Kettle(albinowax)发现并在 DEF CON 27 和 Black-Hat USA 上展示,要了解有关此漏洞的更多信息,您可以参考他在 Portswigger 网站上记录齐全的研究博客。因此,这个安全工具背后的想法是检测给定主机的 HRS 漏洞,并且检测是基于给定排列的时间延迟技术进行的,因此要了解有关此工具的更多信息,我强烈建议您阅读我的博客文章这个工具。

强大的HTTP请求走私检测工具
该工具是使用 python 编写的,要使用该工具,您必须在本地计算机上安装 python 版本 3.x。它接受您需要在文本文件中提供的一个 URL 或 URL 列表的输入,并通过遵循 HRS 漏洞检测技术,该工具具有内置有效负载,其中包含 CL.TE 和 CL.TE 的大约 37 个排列和检测有效负载TE.CL 对于每个给定的主机,它将使用这些有效负载生成攻击请求对象,并计算收到每个请求的响应后经过的时间并确定漏洞,但大多数情况下它可能是误报,因此确认漏洞后,您可以使用 burp-suite Turbo intruder 并尝试您的有效负载。

0x01 获取工具

HTTP请求走私检测工具

https://github.com/anshumanpattnaik/http-request-smuggling

 

原文始发于微信公众号(重生者安全):强大的HTTP请求走私检测工具

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月21日19:59:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   强大的HTTP请求走私检测工具https://cn-sec.com/archives/2763368.html

发表评论

匿名网友 填写信息