【Webキャッシュ汚染編】CDNを毒で塗る攻撃と守り方|CTF思考フレームワーク #19
安全に生きたい編集部
安全に生きたい
【HTTPリクエストスマグリング編】境界の解釈ズレを突く攻撃と守り方|CTF思考フレームワーク #18
安全に生きたい編集部
📖 この記事はシリーズの一部です
「CTF思考フレームワーク」 Web脆弱性編 #18 / 公開中 10記事 → シリーズ一覧を見る →
注意:この記事で扱う内容は、必ずCTF・自分の検証環境・許可された診断範囲でのみ確認してください。実在するWebサービス、CDN、ロードバランサ、APIゲートウェイに対して無断で試すことは、不正アクセスや業務妨害につながる恐れがあります。
HTTPリクエストスマグリングは、フロントエンド(CDN・ロードバランサ)とバックエンド(アプリサーバ)が「リクエストの境界」を別の解釈をする隙間を突く攻撃。James Kettle氏の研究で2019年以降一気に注目された分野で、HTTP/2絡みの新ベクトルも続々登場しています📦
プロキシとアプリで「ここまでが1リクエスト」の解釈がズレると、攻撃者のリクエストが他人のリクエストに「密輸」されます。怖いやつです。
難易度:★★★(上級)
フロントとバックエンドの解釈差を突く高度な攻撃。設定ミスで認証もキャッシュも飛びます🚂
スマグリングはフロント(CDN/LB)とバック(アプリサーバ)で1リクエストの境界が違うことを突く攻撃だよ🔌
Contents
👀 観察フェーズ:まず何を見る?
まずContent-LengthとTransfer-Encodingの両方を持つリクエストでフロント/バックの挙動差を観察🔍
スマグリングは「フロントとバックの組み合わせ」が9割。同じバックエンドでもフロントが変わると挙動が変わります。
リバースプロキシって便利な反面、解釈ズレが生まれやすいんだね…💧
🤔 仮説フェーズ:攻撃者は何を考える?
スマグリングの典型は4パターン。
🔢 仮説①:CL.TE
フロントがContent-Length、バックがTransfer-Encodingを尊重→後続リクエストの先頭にペイロードが混入。
🔁 仮説②:TE.CL
逆パターン。フロントがchunkedを解釈してバックがContent-Lengthに従い、境界がズレて密輸成立。
🤝 仮説③:TE.TE(難読化)
両方Transfer-Encodingを見ても、片方だけTransfer-Encoding: xchunked等で無視させる難読化テクで境界をずらす。
🌐 仮説④:HTTP/2ダウングレード
クライアント↔フロントはH2で、フロント↔バックはH1に変換される時、擬似ヘッダ→生ヘッダ変換のズレを狙う。
スマグリングは攻撃の起点。それ自体より「他攻撃と組み合わせた連鎖」が本領発揮です。
攻撃が刺さると他人のリクエストを乗っ取れるから実害がエグいんだね😨
🔬 検証フェーズ:どうやって確かめる?
CTFやローカル検証環境では、フロントエンドとバックエンドでHTTPメッセージの境界解釈が一致しているかを確認!見るべきは曖昧ヘッダの拒否動作・プロキシとバックエンドのログ差分・タイムアウト挙動🧪
ログ差分や応答挙動の違いから解釈ズレの兆候が見えるんだね⏱️
実サービスに対して試すのは避け、必ず許可された範囲で確認してください。
⚔️ 攻撃フェーズ:CTFで見る典型パターン
スマグリングで起こりうる問題はこの3つ。
ここでは実サービスに対して試せる手順ではなく、CTFやローカル検証環境でよく出る「考え方」だけを整理します。具体的な検証は、必ず自分の環境・CTF問題・許可されたラボ内で行ってください。
① セッション窃取
リクエスト境界の解釈がズレることで、後続リクエストの扱いに影響が出るパターン。認証情報やユーザー固有の処理に波及すると、重大な情報漏えいにつながる恐れがあります。
② キャッシュ汚染
境界解釈のズレがキャッシュ処理に影響し、本来キャッシュすべきでないレスポンスや誤った内容が配信される恐れがあります。
③ WAF/認証バイパス
フロントエンド側の検査とバックエンド側の処理対象がズレることで、認証・WAF・ルーティング等の制御に抜けが生じる恐れがあります。
CTF{front_and_back_must_agree_on_request_boundary}スマグリングは「プロトコル仕様の解釈差」を突く高度な攻撃。対策は単純に「両者で解釈を揃える」ことです。
🛡️ 防御フェーズ:どう守る?
スマグリング対策の3点セット!🛡️
🌐 HTTP/2エンドツーエンドに統一
可能であれば、フロントエンドからバックエンドまでHTTPの解釈を統一し、不要なHTTP/2→HTTP/1.1ダウングレードを避けます。ただしHTTP/2化だけで安全になるわけではないため、曖昧ヘッダ拒否・接続再利用ポリシー・ログ監視も組み合わせます。
🚫 曖昧ヘッダを厳格拒否
Content-LengthとTransfer-Encodingが同時に存在するなど曖昧な境界を持つリクエストは拒否します。複数のContent-Length、不正なTransfer-Encoding、HTTP/1.0との組み合わせも厳格に扱います(RFC 9112準拠)。
🔄 接続プールの再利用ポリシー
フロントエンドとバックエンド間の接続再利用ポリシーを見直します。曖昧なリクエストやエラーを検知した場合は、同じバックエンド接続を再利用せず破棄します。バックエンド接続プールの分離やログ監視も組み合わせます。
「ヘッダの解釈を1つに揃える」のがスマグリングの本質的対策だね💪
🔑 あわせて見直したい基本対策
HTTPリクエストスマグリングの直接対策ではありませんが、セキュリティ全体を見直す際に、パスワードの使い回しも同時に改善しておくと安心です。パスワード管理ツールを使って、サービスごとに異なるパスワードを管理しましょう。
PR / 広告
※ 上記は他社サービスへのリンクです。購入は各自でご判断ください。
⚠️ よくある落とし穴
- CDNを入れた時にバックエンドのHTTPサーバ設定を見直さない。
- HTTP/2を導入しても、バックエンドが古いHTTP/1.1のままでダウングレード経路が残る。
- Transfer-Encodingを実装する全ノードで「同じ仕様解釈」になっていない。
- WAFを「フロント側」だけに置き、密輸後のリクエストを見逃す。
- スマグリング検出ツール(Smuggler、HTTP Request Smuggler)でテストしていない。
- James Kettleのリサーチに沿った定期テストを実施していない。
🧰 ツール早見表
| ツール・資料 | 用途 | ひと言 |
|---|---|---|
| プロキシ・CDN設定 | ヘッダ正規化 | 曖昧なContent-Length / Transfer-Encodingを拒否 |
| バックエンドアクセスログ | 解釈差の確認 | フロントとバックで同じリクエスト数・境界として扱われているか確認 |
| ステージング環境 | 構成検証 | 本番ではなく隔離環境でプロキシ構成を確認 |
| RFC 9112 | HTTP/1.1仕様確認 | メッセージ境界とヘッダ処理の基準 |
| PortSwigger / OWASP資料 | 学習・防御設計 | 原因と対策の理解に使う |
🎓 本気で学びたい人へ
Webセキュリティを「趣味」から「仕事」に変えたい方へ。🎓 ササエルはインフラエンジニアに特化したオンラインスクールで、セキュリティ設計の基礎から体系的に学べます。
PR / 広告
📚 もっと深く学びたい人へ
体系的に攻撃と防御の両面を学びたいなら『ホワイトハッカー入門 第2版』が分かりやすい入口です📚
📚 次に読みたい
- XXE編|CTF思考フレームワーク #17
- Webキャッシュ汚染編|CTF思考フレームワーク #19
- コマンドインジェクション編|CTF思考フレームワーク #16
- Web LLM編|CTF思考フレームワーク #20
🧪 自分で検証してみる
HTTPリクエストスマグリングの検証は、公開サーバーでは絶対に行わないでください。フロント・バックエンドを含むローカルDocker環境(Nginx+バックアプリの組合せ)やPortSwiggerのWeb Security Academy上でのみ検証するのが安全です。
PR / 広告
⚖️ 大事なお約束
必ず守ってね
この記事の手法は、必ず自分の環境か、許可されたCTF・脆弱性報奨金プログラム(HackerOne、Bugcrowd等)で試してください。他人のサービスに無断で攻撃を仕掛けるのは不正アクセス禁止法違反、立派な犯罪です。学んだ知識は守る側で活かしましょう🤝
