LAB
En el laboratorio observamos que este registra las búsquedas teniendo en cuenta la cookie, por lo que esta búsqueda se guarda o se vincula con la sesión.
Luego de tener en cuenta lo anterior, lo que haremos será validar que el sitio web es vulnerable a http request smuggling. Enviando las solicitudes veremos que al construir nuestra solicitud y enviarla siempre da un 200 OK
Una de las maneras de insertar una cabecera es a travez del apartado de Request headers en donde insertaremos la cabecera de Transfer-Encoding
Al agregar un nuevo encabezado con nombre A podemos insertar la cabecera Transfer-Encoding: chunked
test
Transfer-Encoding: chunked
Luego de guardar procedemos a enviar la solicitud el cual en la primera solicitud nos da un 200 OK.
Y luego en la segunda solicitud nos devuelve una respuesta de 404, por lo que se valida que el sitio web es vulnerable a http request smuggling.
0
GET /404 HTTP/1.1
Host: 0a11005603c485d48502cc7c00960067.web-security-academy.net
Content-Length: 8
x=testAhora que sabemos que el sitio web es vulnerable, vamos a construir una solicitud para desincronizar las solicitudes, con el fin de que un usuario al momento de ingresar una búsqueda tome la información de su solicitud (cookie) y se quede en la búsqueda. Para esto lo que se hará, será inflar el segundo content-length
0
POST / HTTP/1.1
Host: 0a11005603c485d48502cc7c00960067.web-security-academy.net
Cookie: session=H8WhHgRbgVnTlpstfI2oNkbuy6o9T4Ej
Content-Length: 10
search=jAl enviar la solicitud observamos que en la búsqueda que lanzamos se tiene un GE que nosotros no pusimos. Este GE extra es parte de la solicitud de un usuario que realizo a la web.
Por lo que para obtener obtener toda la request, inflaremos con 900 en el content-length
Al enviar la solicitud y esperar un poco de tiempo, podemos observar que en la búsqueda quedo parte de la solicitud de un usuario así como las cookies.
Ahora, cambiamos o insertamos la cookie y podremos ingresar como el usuario carlos.
