HTTP Request Smuggling - সম্পূর্ণ বাংলা গাইড 🚀

Red Team | Bug Bounty | OSCP/OSWE | Offensive Security Perspective

🧠 1. Core Theory & Concepts

🔍 HTTP Request Smuggling কী?

HTTP Request Smuggling হলো একটি sophisticated web vulnerability যেখানে attacker দুটি HTTP server বা proxy-এর মধ্যে HTTP request parsing-এর inconsistency exploit করে। এটি মূলত Front-end (Proxy/Load Balancer) এবং Back-end Server-এর মধ্যে HTTP request boundaries নিয়ে confusion তৈরি করে।

🎯 কিভাবে কাজ করে?

Client → Front-end Proxy/LB → Back-end Server

দুটি server যখন HTTP request-এর Content-Length এবং Transfer-Encoding header differently parse করে, তখন এই vulnerability সৃষ্টি হয়।

Two Main Types:

1. CL.TE (Content-Length → Transfer-Encoding)
2. TE.CL (Transfer-Encoding → Content-Length)

📊 OWASP & Impact

• OWASP Category: A10 - Security Misconfiguration/A03 - Injection
• CVSS Score: 7.5-9.0 (High to Critical)
• Impact:
  • Web Cache Poisoning
  • Bypass Authentication/Authorization
  • Request Queue Poisoning
  • Admin Panel Access
  • Session Hijacking

🌍 Real World Usage

• E-commerce sites: Payment bypass, cart manipulation
• Banking Applications: Transaction tampering
• Social Media: Account takeover via session poisoning