Несанкционированные HTTP-запросы (HTTP Request Smuggling) — это давно известная атака на обратные прокси-серверы, к которой снова возник интерес после выступления Джеймса Кеттла на Black Hat USA в 2019 году. В этой области было сделано много новых открытий, как например новые методы обнаружения уязвимостей и новые методы эксплуатации рассинхронизации HTTP. Докладчик расскажет, как обнаружить обратный прокси-сервер HTTP, уязвимый для этой атаки, методы автоматизации обнаружения, векторы эксплуатации и возможные последствия атак.
Рассказывает независимый исследователь безопасности и участник CTF-команды Bushwhackers Эмиль Лернер