https://blog.qife122.com/tags/http%E5%8D%8F%E8%AE%AE%E5%AE%89%E5%85%A8/ Recent content in HTTP协议安全 on 办公AI智能小助手 Hugo zh-cn qife Mon, 27 Oct 2025 11:19:23 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8trace%E6%96%B9%E6%B3%95%E7%AE%80%E5%8C%96%E5%8F%8D%E5%90%8C%E6%AD%A5%E6%94%BB%E5%87%BB%E4%BB%8E%E8%AF%B7%E6%B1%82%E8%B5%B0%E7%A7%81%E5%88%B0%E7%BC%93%E5%AD%98%E6%8A%95%E6%AF%92/ Mon, 27 Oct 2025 11:19:23 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8trace%E6%96%B9%E6%B3%95%E7%AE%80%E5%8C%96%E5%8F%8D%E5%90%8C%E6%AD%A5%E6%94%BB%E5%87%BB%E4%BB%8E%E8%AF%B7%E6%B1%82%E8%B5%B0%E7%A7%81%E5%88%B0%E7%BC%93%E5%AD%98%E6%8A%95%E6%AF%92/ <h1 id="利用trace方法简化反同步攻击--portswigger研究">利用TRACE方法简化反同步攻击 | PortSwigger研究</h1> <p><strong>Martin Doyhenard</strong><br> 研究员<br> @tincho_508</p> <p>发布日期：2024年3月19日 14:00 UTC<br> 更新日期：2024年6月19日 13:58 UTC</p> <p>你是否曾经发现过一个HTTP反同步漏洞，但由于其复杂的约束条件而看似无法利用？在本篇博客中，我们将探索一种新的利用技术，可以通过TRACE方法完全控制Web应用程序——这是一种古老的HTTP方法，其支持程度可能比你想象的要广泛得多。</p> https://blog.qife122.com/p/http/1.1%E5%BF%85%E9%A1%BB%E6%B7%98%E6%B1%B0%E8%BF%99%E5%AF%B9%E5%BA%94%E7%94%A8%E5%AE%89%E5%85%A8%E9%A2%86%E5%AF%BC%E5%B1%82%E6%84%8F%E5%91%B3%E7%9D%80%E4%BB%80%E4%B9%88/ Wed, 22 Oct 2025 11:55:24 +0800 https://blog.qife122.com/p/http/1.1%E5%BF%85%E9%A1%BB%E6%B7%98%E6%B1%B0%E8%BF%99%E5%AF%B9%E5%BA%94%E7%94%A8%E5%AE%89%E5%85%A8%E9%A2%86%E5%AF%BC%E5%B1%82%E6%84%8F%E5%91%B3%E7%9D%80%E4%BB%80%E4%B9%88/ <p>在Black Hat USA和DEFCON 2025大会上，PortSwigger研究总监James Kettle发出了严厉警告：请求走私攻击不仅没有消失，反而在不断演变和蔓延。尽管经过多年的防御努力，Kettle公布的新研究证明，HTTP请求走私（或称&quot;desync&quot;攻击）仍然是一个系统性的协议级威胁，危及全球数千万本应安全防护的网站。</p>