【文件属性】：
文件名称：h2csmuggler:通过HTTP2明文（h2c）的HTTP请求走私
文件大小：170KB
文件格式：ZIP
更新时间：2021-03-18 18:40:27
infosec bugbounty security-tools security-research Python h2c走私者 描述 通过与兼容h2c的后端服务器建立HTTP / 2明文（h2c）通信，h2cSmuggler通过不安全的边缘服务器proxy_pass配置走私HTTP流量，从而允许绕过代理规则和访问控制。 请参阅以下我的详细文章： 漏洞的技术细分 不安全的默认服务 修复指导 此处： ： 怎么测试？ 任何转发h2c升级标头的代理端点都可能受到影响。由于h2c仅打算在明文通道上执行，因此对HTTPS服务的检测通常会产生真正的肯定。 相比之下，HTTP服务可能会导致误报。例如，启用h2c的代理可以响应升级，而不是将其转发到h2c后端。 使用--scan-list选项可以测试一台或多台Web服务器以查找受影响的proxy_pass端点。考虑使用从目录枚举中发现的目录列表，例如： urls.txt https://www.example.com/ https://www.example.c
【文件预览】：
h2csmuggler-master
----.gitignore(12B)
----media()
--------success.png(26KB)
--------test.png(8KB)
--------diagram.png(130KB)
--------fail.png(14KB)
----LICENSE(1KB)
----extensions()
--------BurpExtension()
--------nuclei-template()
----demo.go(1KB)
----docker-compose.yml(1KB)
----README.md(9KB)
----configs()
--------haproxy.cfg(304B)
--------generate-certificates.sh(544B)
--------Dockerfile-backend(148B)
--------nginx.conf(495B)
--------nuster.cfg(311B)
----h2csmuggler.py(12KB)