1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Mesedez, erabili identifikatzaile hau item hau aipatzeko edo estekatzeko: http://elartu.tntu.edu.ua/handle/lib/51308
Titulua: Аналіз вразливостей HTTP Request Smuggling засобами диференціального фаззингу HTTP-запитів
Beste titulu batzuk: HTTP Request Smuggling Vulnerability Analysis via Differential Fuzzing of HTTP Requests
Egilea: Кащин, Віталій Юрійович
Kashchyn, Vitalii
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Кащин В. Ю. Аналіз вразливостей HTTP Request Smuggling засобами диференціального фаззингу HTTP-запитів : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / В. Ю. Кащин. — Тернопіль: ТНТУ, 2025. — 72 с.
Gordailuaren-data: 2-Jan-2026
Submitted date: 22-Dec-2025
Date of entry: 19-Jan-2026
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Лечаченко, Тарас Анатолійович
Lechachenko, Taras
Committee members: Никитюк, Вячеслав Вячеславович
Nykytiuk, Viacheslav
UDC: 004.56
Gako-hitzak: HRS
Kali Linux
CL.TE
TE.CL
CRLF
KVM
кібербезпека
cybersecurity
Laburpena: У кваліфікаційній роботі магістра досліджено уразливості типу HTTP Request Smuggling (HRS), що виникають у результаті неоднозначного трактування HTTP/1.1-запитів різними компонентами вебінфраструктури ( проксі-серверами та бекендами). У роботі розглянуто архітектуру сучасних вебсистем, особливості протоколу HTTP/1.1, природу та класифікацію HRS-атак (CL.TE, TE.CL, CRLF-варіації), їхні наслідки та методи виявлення. Обґрунтовано використання диференціального фазингу як ефективного підходу для виявлення неузгодженостей у парсингу запитів. Розроблено методику експериментального дослідження, що включає побудову ізольованого стенду Client → Nginx (reverse proxy) → Apache (backend) на базі гіпервізора KVM, використання Burp Suite з розширенням HTTP Request Smuggler. Визначено критерії виявлення парсингових розбіжностей та метод обробки експериментальних результатів. Практичні експерименти показали, що навіть незначні відмінності у налаштуваннях проксі чи бекенда можуть призвести до різної інтерпретації HTTP-запитів і створити умови для HRS-атак. Отримані результати підтвердили ефективність диференціального фазингу для систематичного пошуку таких розбіжностей і засвідчили його практичну цінність для підвищення безпеки багаторівневих вебінфраструктур.
In the master's qualification thesis, HTTP Request Smuggling (HRS) vulnerabilities are investigated, which arise as a result of ambiguous interpretation of HTTP/1.1 requests by different components of web infrastructure (proxy servers and backends). The thesis examines the architecture of modern web systems, the features of the HTTP/1.1 protocol, the nature and classification of HRS attacks (CL.TE, TE.CL, CRLF variations), their consequences, and detection methods. The use of differential fuzzing is substantiated as an effective approach for identifying inconsistencies in request parsing. An experimental research methodology was developed, including the construction of an isolated testbed Client → Nginx (reverse proxy) → Apache (backend) based on the KVM hypervisor, and the use of Burp Suite with the HTTP Request Smuggler extension. Criteria for detecting parsing discrepancies and a method for processing experimental results were defined. Practical experiments demonstrated that even minor differences in proxy or backend configurations can lead to divergent interpretations of HTTP requests and create conditions for HRS attacks. The obtained results confirmed the effectiveness of differential fuzzing for systematically identifying such inconsistencies and proved its practical value for improving the security of multi-layered web infrastructures.
Content: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 8 ВСТУП 9 РОЗДІЛ 1 ТЕОРЕТИЧНІ ЗАСАДИ АНАЛІЗУ УРАЗЛИВОСТЕЙ HTTP REQUEST SMUGGLING 11 1.1 Архітектура сучасних вебінфраструктур: проксі, бекенд, балансування 11 1.2 Особливості HTTP/1.1 15 1.3 Природа та класифікація HTTP Request Smuggling 16 1.4 Наслідки HRS-атак 18 1.5 Огляд методів виявлення HRS 22 1.6 Висновки до розділу 1 23 РОЗДІЛ 2 МЕТОДИКА ДОСЛІДЖЕННЯ УРАЗЛИВОСТЕЙ ЗАСОБАМИ ДИФЕРЕНЦІАЛЬНОГО ФАЗИНГУ 25 2.1 Вибір інструментального середовища 25 2.2 Побудова тестового стенду 26 2.3 Підготовка набору HTTP-запитів з варіативними заголовками 28 2.4 Визначення критеріїв виявлення парсингових розбіжностей 36 2.5 Метод реєстрації та обробки результатів 37 2.4 Висновки до розділу 2 39 РОЗДІЛ 3 ТЕСТУВАННЯ ТА ОЦІНКА ЕФЕКТИВНОСТІ ВИЯВЛЕННЯ ВРАЗЛИВОСТЕЙ HRS 41 3.1 Застосування HTTP Request Smuggler до різних конфігурацій 41 3.2 Виявлені невідповідності та інтерпретація результатів 43 3.3 Обговорення ефективності підходу та його обмежень 56 3.4 Висновки до розділу 3 57 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 58 4.1 Охорона праці 58 4.2 Фактори ризику і можливі порушення здоров’я користувачів комп’ютерної мережі 61 ВИСНОВКИ 63 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 65 Додаток А Публікація 68 Додаток Б Розширений вивід tshark на на віртуальній машині з Nginx 71 Додаток B Розширений вивід tshark на на віртуальній машині з Apache 72
URI: http://elartu.tntu.edu.ua/handle/lib/51308
Copyright owner: © Кащин Віталій Юрійович, 2025
References (Ukraine): 1. HTTP Load Balancing | NGINX Documentation. (n.d.). Retrieved from https://docs.nginx.com/nginx/admin-guide/load-balancer/http-load-balancer/
2. NGINX SSL Termination | NGINX Documentation. (n.d.). Retrieved from https://docs.nginx.com/nginx/admin-guide/security-controls/terminating-ssl-http/
3. mod_proxy - Apache HTTP Server Version 2.4. (n.d.). Retrieved from https://httpd.apache.org/docs/2.4/mod/mod_proxy.html
4. Squid Web Cache FAQ. (n.d.). Retrieved from https://wiki.squid-cache.org/SquidFaq/
5. NGINX Reverse Proxy | NGINX Documentation. (n.d.). Retrieved from https://docs.nginx.com/nginx/admin-guide/web-server/reverse-proxy/
6. WSTG - Latest | OWASP Foundation. (n.d.). Retrieved from https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/15-Testing_for_HTTP_Splitting_Smuggling
7. What is HTTP Request Smuggling? | Fastly. (n.d.). Retrieved from https://www.fastly.com/learning/security/what-is-http-request-smuggling
8. Exploiting and Preventing HTTP Request Smuggling. (n.d.). Retrieved from https://www.vaadata.com/blog/what-is-http-request-smuggling-exploitations-and-security-best-practices/
9. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning method. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
10. Petliak, N., Klots, Y., Karpinski, M., Titova, V., Tymoshchuk, D. Hybrid system for detecting abnormal traffic in IoT. CEUR Workshop Proceedings, (2025), 4057, pp. 21 – 36.
11. Klots, Y., Titova, V., Petliak, N., Tymoshchuk, D., Zagorodna, N. Intelligent data monitoring anomaly detection system based on statistical and machine learning approaches. CEUR Workshop Proceedings, (2025), 4042, pp. 80 – 89.
12. Fuzzing — Firefox Source Docs documentation. (n.d.). Retrieved from https://firefox-source-docs.mozilla.org/tools/fuzzing/index.html
13. What is HTTP request smuggling? Tutorial & Examples | Web Security Academy. (n.d.). Retrieved from https://portswigger.net/web-security/request-smuggling
14. GitHub - PortSwigger/http-request-smuggler. (n.d.). Retrieved from https://github.com/PortSwigger/http-request-smuggler
15. nginx documentation. (n.d.). Retrieved from https://nginx.org/en/docs/
16. Documentation: Apache HTTP Server - The Apache HTTP Server Project. (n.d.). Retrieved from https://httpd.apache.org/docs/
17. RFC 7230: Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing. (n.d.). Retrieved from https://www.rfc-editor.org/rfc/rfc7230
18. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56. https://doi.org/10.31891/2219-9365-2024-79-7
19. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220. https://doi.org/10.31891/2219-9365-2024-80-26
20. What is KVM?. Red Hat - We make open source technologies for the enterprise. URL: https://www.redhat.com/en/topics/virtualization/what-is-KVM
21. Тимощук, В., Долінський, А., & Тимощук, Д. (2024). ЗАСТОСУВАННЯ ГІПЕРВІЗОРІВ ПЕРШОГО ТИПУ ДЛЯ СТВОРЕННЯ ЗАХИЩЕНОЇ ІТ-ІНФРАСТРУКТУРИ. Матеріали конференцій МЦНД, (24.05. 2024; Запоріжжя, Україна), 145-146. https://doi.org/10.62731/mcnd-24.05.2024.001
22. tshark(1). (n.d.). Retrieved from https://www.wireshark.org/docs/man-pages/tshark.html
23. Kali docs | kali linux documentation. Kali Linux. URL: https://www.kali.org/docs/.
24. Yevseiev S., Ponomarenko V., Laptiev O., Milov O., Korol O., Milevskyi S. et. al.. Synergy of building cybersecurity systems. Kharkiv: РС ТЕСHNOLOGY СЕNTЕR, 2021. 188 p. DOI: https://doi.org/10.15587/978-617-7319-31-2
25. Karpinski M., Korchenko A., Vikulov P., Kochan R. The Etalon Models of Linguistic Variables for Sniffing-Attack Detection, in Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS), 2017 IEEE 9th International Conference on, 2017, pp. 258-264.
26. Тригубець, Б., Тригубець, М., & Загородна, Н. (2024). Аналіз ефективності використання безкоштовних та комерційних сканерів вразливостей для веб-застосунків електронної комерції. Вісник Тернопільського національного технічного університету, 116(4), 23-30.
27. Derkach, M., Matiuk, D., Skarga-Bandurova, I., & Zagorodna, N. (2025). CrypticWave: A zero-persistence ephemeral messaging system with client-side encryption.
28. Karpiński, M., Revniuk, O., Tymoshchuk, D., Kozak, R., & Tokkuliyeva, A. (2025). Fuzzy logic system as a component of the web application security information system (short paper). CEUR Workshop Proceedings, Article 4042. http://ceur-ws.org/Vol-4042/short4.pdf
29. Деркач М. В., Хомишин В. Г., Гудзенко В. О. Тестування безпеки вебресурсу на базі інструментів для сканування та виявлення вразливостей. Наукові вісті Далівського університету. 2023. №25.
30. Катренко Л.А., Катренко А.В. Охорона праці в галузі комп’ютинґу. Львів: Магнолія-2006. 2012. 544 с.
31. Шкідливий вплив персонального комп’ютера на здоров’я людини. URL: https://ir.lib.vntu.edu.ua/bitstream/handle/123456789/21370/5363.pdf (дата звернення: 16.12.2023).
32. Як захиститися від синього світла на телефоні та ПК: простий алгоритм. URL: https://my.ua/news/cluster/2023-05-03-iak-zakhistitisia-vid-sinogo-svitla-na-telefoni-ta-pk-prostii-algoritm (дата звернення: 16.12.2023).
Content type: Master Thesis
Bildumetan azaltzen da:125 — кібербезпека, Кібербезпека та захист інформації

Item honetako fitxategiak:
Fitxategia Deskribapena TamainaFormatua 
Kashchyn_Vitalii_SBm_61_2025.pdf2,75 MBAdobe PDFBistaratu/Ireki
Itemaren Dublin Core erregistro osatua erakusten du


DSpaceko itemak copyright bidez babestuta daude, eskubide guztiak gordeta, baldin eta kontrakoa adierazten ez bada.

Administratzailearen tresnak