Beware the false false-positive: how to distinguish HTTP pipelining from request smuggling
Sometimes people think they've found HTTP request smuggling, when they're actually just observing HTTP keep-alive or pipelining. This is usually a false positive, but sometimes there's actually a real
Der Artikel erklärt, wie HTTP-Pipelining von HTTP Request Smuggling unterschieden werden kann. Er warnt, dass Beobachtungen oft fälschlich als Request Smuggling interpretiert werden, aber gelegentlich echte Schwachstellen dahinterstehen. Konkrete betroffene Produkte oder CVEs sind nicht angegeben.
Webanwendungen und HTTP-Infrastrukturen, die auf Request-Smuggling-Anzeichen getestet werden; konkrete Betroffene sind nicht im Artikel angegeben
Fehlklassifizierungen können zu übersehenen echten Risiken oder unnötigem Aufwand durch False Positives führen.
Eine echte Request-Smuggling-Schwachstelle wird als Pipelining-Fehlalarm abgetan und bleibt bestehen.
Request-Smuggling-Findings mit reproduzierbaren, defensiven Tests validieren und von legitimen Keep-Alive-/Pipelining-Effekten abgrenzen.
- ▸Defensiver Check 1: Scanner-Findings zu Request Smuggling manuell auf Reproduzierbarkeit prüfen.
- ▸Defensiver Check 2: Proxy-, Load-Balancer- und Backend-Verhalten bei HTTP/1.1-Verbindungen dokumentieren.
- ▸Defensiver Check 3: Logging so konfigurieren, dass verdächtige Abweichungen zwischen Frontend- und Backend-Requests sichtbar werden.
- Konkrete Schwachstellen oder CVEs sind nicht im Artikel angegeben.
- Betroffene Produkte sind nicht im Artikel angegeben.
- Keine Angreifer oder IOCs sind angegeben.