HTTP 请求走私漏洞多次成为 Blackhat 大会的议题， 比如《US-20-HTTP-Request-Smuggling-In-2020》 、《EU-21-Thatcher-Practical-HTTP-Header-Smuggling》等。虽然国内看到的相关漏洞实例很少（基本都是靶场…），但从 Hackerone 可以看到国外白帽还是挖到不少相关案例且价值不菲的，比如：
https://hackerone.com/reports/2299692

https://hackerone.com/reports/1888760

正如某财经博主常说的一句话“你永远赚不到你认知之外的钱”，渗透测试何尝不是如此？你永远挖不倒你认知之外的漏洞。本文围绕 request-smuggling实验环境，来学习了解下这个“冷门”漏洞的前世今生。