# HTTP request smuggling Lab7 本題是 HTTP Request Smuggling + Reflected XSS,網站前端不支援 chunked encoding(表示有機會讓前後端 desync),應用程式對 User-Agent 有 reflected XSS 弱點,要 Smuggle 一個 GET 請求,讓下一個用戶收到含有 XSS payload 的回應,使其觸發 alert(1)。 一樣先進入網站並攔截進入文章的請求。 ![image](https://hackmd.io/_uploads/HJ3CxH8Dee.png) 透過觀察可以發現 User-Agent 的值會被放進一個 hidden input,而且原封不動的反射回來給我們,直接插進 HTML 裡,沒經過 escape 處理,所以透過這個資訊,我們可以有個大膽的想法:隨意更改 User-Agent 的值。 ![image](https://hackmd.io/_uploads/HJ_xGBIDlg.png) ![image](https://hackmd.io/_uploads/r1O0MrLDlg.png) 顯然是行的通的,所以... ![image](https://hackmd.io/_uploads/B1KDQSIveg.png) 直接注入進去看看,然後進行漫長的等待(Lab 模擬的使用者(victim)是「間歇性出現」)。 ![image](https://hackmd.io/_uploads/BJlPBHLDxl.png) ---