0x00前言
最近刷题的时候多次遇到HTTP请求走私相关的题目,但之前都没怎么接触到相关的知识点,只是在GKCTF--hackme中使用到了CVE--(Nginx1.17.7请求走私漏洞),具体讲就是通过nginx的走私漏洞访问到WeblogicConsole的登录页面,然后打Weblogic历史漏洞读取flag。当时做那道题的时候对走私漏洞没有深入理解,今天打ISCC的时候又遇到了一道利用gunicorn20.04请求走私漏洞绕waf的题目,因此好好学习一下还是很有必要的。
0x01发展时间线
最早在年,由ChaimLinhart,AmitKlein,RonenHeled和SteveOrrin共同完成了一篇关于HTTPRequestSmuggling这一攻击方式的报告。通过对整个RFC文档的分析以及丰富的实例,证明了这一攻击方式的危害性。