我应该如何解决Apache上的HTTP请求走私问题?
我用Burp Suite Proffessional扫描了我的网站。
它说,已经检测到一个名为"HTTP请求走私“的漏洞。
2019年8月7日Burp Suite Professional ver2.1.03中检测到此漏洞。
我的服务器环境如下。
- CentOS 7
- Apache 2.4
- PHP 7.3
PortSwigger说如何解决这个问题。
也就是说,将web服务器的网络协议从"HTTP/1.1“更改为"HTTP/2”。
因此,我用SSL支持更改了我的站点,然后也修改了HTTP/2支持。
我再次扫描,再次检测到"HTTP请求走私“漏洞。
如何解决?
我对这个问题的细节和它的工作原理不感兴趣。
我想知道的是如何停止发现这个问题。
如果您遇到过类似的事件,请告诉我解决方案。请?
如果可能的话,我希望你对此做些什么,在httpd.conf或php.ini中写到,等等。
回答 2
Stack Overflow用户
发布于 2022-09-08 11:11:24
Stack Overflow用户
发布于 2022-10-06 09:32:34
如果您正在使用端到端的HTTP/2通信,那么这将消除该漏洞。我的意思是,HTTP/2是所有HTTP流量中使用的唯一HTTP版本。
许多web架构在接受HTTP/2流量的web服务器前面有一个负载均衡器或代理。但是,许多前端服务器在将传入的HTTP/2流量转发到后端服务器/ web服务器时将其重写为HTTP/1。当流量被重写到HTTP/1时,HTTP请求走私就成为可能。更多信息在这里:https://www.youtube.com/watch?v=rHxVVeM9R-M
我在文章中引用了Portswigger的一位研究员James的话:“您可以通过配置前端服务器专门使用HTTP/2与后端系统通信,或者通过完全禁用后端连接重用来解决此漏洞的所有变体。”
来源:https://portswigger.net/research/http-desync-attacks-request-smuggling-reborn
https://stackoverflow.com/questions/62462247
复制相似问题
腾讯云开发者
