HTTP Request Smuggling - সম্পূর্ণ গাইড
HTTP Request Smuggling কী?
HTTP Request Smuggling একটি web application attack যেখানে আক্রমণকারী front-end server (proxy/load balancer) এবং back-end server এর মধ্যে HTTP request parsing এর পার্থক্য exploit করে।
মূল সমস্যা: দুটি server একই HTTP request কে ভিন্নভাবে interpret করে।
কেন এটা হয়?
HTTP Message Structure:
POST /path HTTP/1.1
Host: example.com
Content-Length: 13
message body
দুইটি Header নিয়ে Confusion:
- Content-Length: Message body এর exact byte count
- Transfer-Encoding: chunked: Message body chunks আকারে আসবে
Request Smuggling এর Types:
1. CL.TE (Content-Length → Transfer-Encoding)
Scenario:
- Front-end server: Content-Length দেখে
- Back-end server: Transfer-Encoding দেখে
Example: