您好, Stackoverflow 专家们,
我想知道 NodeJS / Express 服务器是否容易受到“请求走私”攻击,就像在这里所读到的那样:
https://portswigger.net/research/http-desync-attacks-request-smuggling-reborn
如果是这样,该如何减轻它的影响?
我不确定 Node / Express 是否可以访问 HTTP 请求块?仅能访问完整的请求吗?
有人对此有任何见解吗?
1个回答
1
NodeJS应用程序在处理同时包含'Transfer-Encoding'和'Content-Length'的http请求时,应该返回'400'(错误请求)。
这是减少威胁的好方法,但没有绝对安全的措施。
规范说明当服务器同时收到这两个标头时,应忽略'Content-Length'并继续使用'Transfer-Encoding',但通常情况下并非如此,也不是一个好方法。
从我所见到的实现中,实现可能会有很大差异,非常多。 没有最好的解决方法。(这是为什么它是非常普遍的漏洞之一,可以轻松地通过与系统中的其他漏洞链接来利用它的原因之一)
规范说明当服务器同时收到这两个标头时,应忽略'Content-Length'并继续使用'Transfer-Encoding',但通常情况下并非如此,也不是一个好方法。
从我所见到的实现中,实现可能会有很大差异,非常多。 没有最好的解决方法。(这是为什么它是非常普遍的漏洞之一,可以轻松地通过与系统中的其他漏洞链接来利用它的原因之一)
- Nikola
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 16 在Node | Express | request中发送一个缓冲区的multipart/form-data POST请求
- 4 在node/express请求静态资源中减轻反射型XSS攻击
- 8 Node Express/Request:如何使用body parsing来传输POST请求
- 8 Node JS Express处理多个请求
- 6 Node/Express发送静态文件请求
- 8 使用node和express解压POST请求体
- 3 Node/Express不响应POST请求
- 19 使用 Node 和 Express JS 防御暴力攻击
- 4 使用Nock和Request模拟HTTP请求错误
- 3 Node Express 无法处理并行请求