بنابراین من یک وب سایت ایجاد کرده ام و در آمازون AWS میزبانی می شود و AWSELB را اعمال می کند. من در حال یادگیری توسعه برنامه های وب خودم به عنوان یادگیری توسعه هستم ، بنابراین پیش رفتم و برخی از چک ها را با BurpSuite علیه سایت اجرا کردم. من چند آسیب پذیری XSS را کشف کردم ، آنها را به صورت دستی تأیید کردم و آنها را برطرف کردم ، اما یکی از آنها را نیز برای HTTP درخواست قاچاق دریافت کردم. من اطلاعاتی را که PortSwigger در این باره ارائه می دهد ، مرور کردم و فکر می کنم ایده کلی را در اینجا درک می کنم ، بنابراین ممکن است براساس آنچه که من در سایت می بینم در معرض TE.CL آسیب پذیر باشد اما در تأیید صحت دارم. ابزار Burp به من می گوید آسیب پذیری بر اساس درخواست و پاسخ زیر وجود دارد:

 Post / site / path HTTP / 1.1
میزبان: www.somehost.com
نوع محتوا: برنامه / x-www-form-urlencoded
رمزگذاری رمزگذاری: به صورت قطع
طول مطلب: 26
اتصال: زنده نگه دارید
کوکی: sessionid = ؛ sessionid.sig = ؛ AWSALB = ؛

f
7dj19 = x & dsa8k = x
0

و پاسخ:

 HTTP / 1.1 504 زمان دروازه
سرور: awselb / 2.0
تاریخ: 
نوع محتوا: text / html
طول مطلب: 550
اتصال: زنده نگه دارید
مجموعه کوکی: AWSALB = ؛ منقضی می شود = تاریخ GMT مسیر = /




 504 Timefate Gateway 
 

من سعی کردم از ابزار قاچاقچی که PortSwigger پیشنهاد می کند استفاده کنم ، اما به نظر می رسد 504s تنها خطایی است که به نظر می رسد نشان می دهد که این ممکن است یک ولگرد 504 باشد. من برخی از جستجوها را انجام دادم اما نمونه ای از این مورد را پیدا نکردم. a 504 پاسخی است که نشان می دهد سایت در برابر این نوع چیزها آسیب پذیر است. اگر کسی بتواند راهنمایی هایی را ارائه دهد که بسیار مورد استقبال قرار گیرد.
متشکرم