Empreu aquest identificador per citar o enllaçar aquest ítem:
http://elartu.tntu.edu.ua/handle/lib/51308Registre complet de metadades
| Camp DC | Valor | Lengua/Idioma |
|---|---|---|
| dc.contributor.advisor | Лечаченко, Тарас Анатолійович | - |
| dc.contributor.advisor | Lechachenko, Taras | - |
| dc.contributor.author | Кащин, Віталій Юрійович | - |
| dc.contributor.author | Kashchyn, Vitalii | - |
| dc.date.accessioned | 2026-01-19T13:31:49Z | - |
| dc.date.available | 2026-01-19T13:31:49Z | - |
| dc.date.issued | 2026-01-02 | - |
| dc.date.submitted | 2025-12-22 | - |
| dc.identifier.citation | Кащин В. Ю. Аналіз вразливостей HTTP Request Smuggling засобами диференціального фаззингу HTTP-запитів : кваліфікаційна робота на здобуття освітнього ступеня магістр за спеціальністю „125 — Кібербезпека та захист інформації“ / В. Ю. Кащин. — Тернопіль: ТНТУ, 2025. — 72 с. | uk_UA |
| dc.identifier.uri | http://elartu.tntu.edu.ua/handle/lib/51308 | - |
| dc.description.abstract | У кваліфікаційній роботі магістра досліджено уразливості типу HTTP Request Smuggling (HRS), що виникають у результаті неоднозначного трактування HTTP/1.1-запитів різними компонентами вебінфраструктури ( проксі-серверами та бекендами). У роботі розглянуто архітектуру сучасних вебсистем, особливості протоколу HTTP/1.1, природу та класифікацію HRS-атак (CL.TE, TE.CL, CRLF-варіації), їхні наслідки та методи виявлення. Обґрунтовано використання диференціального фазингу як ефективного підходу для виявлення неузгодженостей у парсингу запитів. Розроблено методику експериментального дослідження, що включає побудову ізольованого стенду Client → Nginx (reverse proxy) → Apache (backend) на базі гіпервізора KVM, використання Burp Suite з розширенням HTTP Request Smuggler. Визначено критерії виявлення парсингових розбіжностей та метод обробки експериментальних результатів. Практичні експерименти показали, що навіть незначні відмінності у налаштуваннях проксі чи бекенда можуть призвести до різної інтерпретації HTTP-запитів і створити умови для HRS-атак. Отримані результати підтвердили ефективність диференціального фазингу для систематичного пошуку таких розбіжностей і засвідчили його практичну цінність для підвищення безпеки багаторівневих вебінфраструктур. | uk_UA |
| dc.description.abstract | In the master's qualification thesis, HTTP Request Smuggling (HRS) vulnerabilities are investigated, which arise as a result of ambiguous interpretation of HTTP/1.1 requests by different components of web infrastructure (proxy servers and backends). The thesis examines the architecture of modern web systems, the features of the HTTP/1.1 protocol, the nature and classification of HRS attacks (CL.TE, TE.CL, CRLF variations), their consequences, and detection methods. The use of differential fuzzing is substantiated as an effective approach for identifying inconsistencies in request parsing. An experimental research methodology was developed, including the construction of an isolated testbed Client → Nginx (reverse proxy) → Apache (backend) based on the KVM hypervisor, and the use of Burp Suite with the HTTP Request Smuggler extension. Criteria for detecting parsing discrepancies and a method for processing experimental results were defined. Practical experiments demonstrated that even minor differences in proxy or backend configurations can lead to divergent interpretations of HTTP requests and create conditions for HRS attacks. The obtained results confirmed the effectiveness of differential fuzzing for systematically identifying such inconsistencies and proved its practical value for improving the security of multi-layered web infrastructures. | uk_UA |
| dc.description.tableofcontents | ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 8 ВСТУП 9 РОЗДІЛ 1 ТЕОРЕТИЧНІ ЗАСАДИ АНАЛІЗУ УРАЗЛИВОСТЕЙ HTTP REQUEST SMUGGLING 11 1.1 Архітектура сучасних вебінфраструктур: проксі, бекенд, балансування 11 1.2 Особливості HTTP/1.1 15 1.3 Природа та класифікація HTTP Request Smuggling 16 1.4 Наслідки HRS-атак 18 1.5 Огляд методів виявлення HRS 22 1.6 Висновки до розділу 1 23 РОЗДІЛ 2 МЕТОДИКА ДОСЛІДЖЕННЯ УРАЗЛИВОСТЕЙ ЗАСОБАМИ ДИФЕРЕНЦІАЛЬНОГО ФАЗИНГУ 25 2.1 Вибір інструментального середовища 25 2.2 Побудова тестового стенду 26 2.3 Підготовка набору HTTP-запитів з варіативними заголовками 28 2.4 Визначення критеріїв виявлення парсингових розбіжностей 36 2.5 Метод реєстрації та обробки результатів 37 2.4 Висновки до розділу 2 39 РОЗДІЛ 3 ТЕСТУВАННЯ ТА ОЦІНКА ЕФЕКТИВНОСТІ ВИЯВЛЕННЯ ВРАЗЛИВОСТЕЙ HRS 41 3.1 Застосування HTTP Request Smuggler до різних конфігурацій 41 3.2 Виявлені невідповідності та інтерпретація результатів 43 3.3 Обговорення ефективності підходу та його обмежень 56 3.4 Висновки до розділу 3 57 РОЗДІЛ 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 58 4.1 Охорона праці 58 4.2 Фактори ризику і можливі порушення здоров’я користувачів комп’ютерної мережі 61 ВИСНОВКИ 63 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 65 Додаток А Публікація 68 Додаток Б Розширений вивід tshark на на віртуальній машині з Nginx 71 Додаток B Розширений вивід tshark на на віртуальній машині з Apache 72 | uk_UA |
| dc.language.iso | uk | uk_UA |
| dc.subject | HRS | uk_UA |
| dc.subject | Kali Linux | uk_UA |
| dc.subject | CL.TE | uk_UA |
| dc.subject | TE.CL | uk_UA |
| dc.subject | CRLF | uk_UA |
| dc.subject | KVM | uk_UA |
| dc.subject | кібербезпека | uk_UA |
| dc.subject | cybersecurity | uk_UA |
| dc.title | Аналіз вразливостей HTTP Request Smuggling засобами диференціального фаззингу HTTP-запитів | uk_UA |
| dc.title.alternative | HTTP Request Smuggling Vulnerability Analysis via Differential Fuzzing of HTTP Requests | uk_UA |
| dc.type | Master Thesis | uk_UA |
| dc.rights.holder | © Кащин Віталій Юрійович, 2025 | uk_UA |
| dc.contributor.committeeMember | Никитюк, Вячеслав Вячеславович | - |
| dc.contributor.committeeMember | Nykytiuk, Viacheslav | - |
| dc.coverage.placename | ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна | uk_UA |
| dc.subject.udc | 004.56 | uk_UA |
| dc.relation.references | 1. HTTP Load Balancing | NGINX Documentation. (n.d.). Retrieved from https://docs.nginx.com/nginx/admin-guide/load-balancer/http-load-balancer/ | uk_UA |
| dc.relation.references | 2. NGINX SSL Termination | NGINX Documentation. (n.d.). Retrieved from https://docs.nginx.com/nginx/admin-guide/security-controls/terminating-ssl-http/ | uk_UA |
| dc.relation.references | 3. mod_proxy - Apache HTTP Server Version 2.4. (n.d.). Retrieved from https://httpd.apache.org/docs/2.4/mod/mod_proxy.html | uk_UA |
| dc.relation.references | 4. Squid Web Cache FAQ. (n.d.). Retrieved from https://wiki.squid-cache.org/SquidFaq/ | uk_UA |
| dc.relation.references | 5. NGINX Reverse Proxy | NGINX Documentation. (n.d.). Retrieved from https://docs.nginx.com/nginx/admin-guide/web-server/reverse-proxy/ | uk_UA |
| dc.relation.references | 6. WSTG - Latest | OWASP Foundation. (n.d.). Retrieved from https://owasp.org/www-project-web-security-testing-guide/latest/4-Web_Application_Security_Testing/07-Input_Validation_Testing/15-Testing_for_HTTP_Splitting_Smuggling | uk_UA |
| dc.relation.references | 7. What is HTTP Request Smuggling? | Fastly. (n.d.). Retrieved from https://www.fastly.com/learning/security/what-is-http-request-smuggling | uk_UA |
| dc.relation.references | 8. Exploiting and Preventing HTTP Request Smuggling. (n.d.). Retrieved from https://www.vaadata.com/blog/what-is-http-request-smuggling-exploitations-and-security-best-practices/ | uk_UA |
| dc.relation.references | 9. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning method. CEUR Workshop Proceedings, 3842, pp. 184 - 195. | uk_UA |
| dc.relation.references | 10. Petliak, N., Klots, Y., Karpinski, M., Titova, V., Tymoshchuk, D. Hybrid system for detecting abnormal traffic in IoT. CEUR Workshop Proceedings, (2025), 4057, pp. 21 – 36. | uk_UA |
| dc.relation.references | 11. Klots, Y., Titova, V., Petliak, N., Tymoshchuk, D., Zagorodna, N. Intelligent data monitoring anomaly detection system based on statistical and machine learning approaches. CEUR Workshop Proceedings, (2025), 4042, pp. 80 – 89. | uk_UA |
| dc.relation.references | 12. Fuzzing — Firefox Source Docs documentation. (n.d.). Retrieved from https://firefox-source-docs.mozilla.org/tools/fuzzing/index.html | uk_UA |
| dc.relation.references | 13. What is HTTP request smuggling? Tutorial & Examples | Web Security Academy. (n.d.). Retrieved from https://portswigger.net/web-security/request-smuggling | uk_UA |
| dc.relation.references | 14. GitHub - PortSwigger/http-request-smuggler. (n.d.). Retrieved from https://github.com/PortSwigger/http-request-smuggler | uk_UA |
| dc.relation.references | 15. nginx documentation. (n.d.). Retrieved from https://nginx.org/en/docs/ | uk_UA |
| dc.relation.references | 16. Documentation: Apache HTTP Server - The Apache HTTP Server Project. (n.d.). Retrieved from https://httpd.apache.org/docs/ | uk_UA |
| dc.relation.references | 17. RFC 7230: Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing. (n.d.). Retrieved from https://www.rfc-editor.org/rfc/rfc7230 | uk_UA |
| dc.relation.references | 18. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56. https://doi.org/10.31891/2219-9365-2024-79-7 | uk_UA |
| dc.relation.references | 19. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220. https://doi.org/10.31891/2219-9365-2024-80-26 | uk_UA |
| dc.relation.references | 20. What is KVM?. Red Hat - We make open source technologies for the enterprise. URL: https://www.redhat.com/en/topics/virtualization/what-is-KVM | uk_UA |
| dc.relation.references | 21. Тимощук, В., Долінський, А., & Тимощук, Д. (2024). ЗАСТОСУВАННЯ ГІПЕРВІЗОРІВ ПЕРШОГО ТИПУ ДЛЯ СТВОРЕННЯ ЗАХИЩЕНОЇ ІТ-ІНФРАСТРУКТУРИ. Матеріали конференцій МЦНД, (24.05. 2024; Запоріжжя, Україна), 145-146. https://doi.org/10.62731/mcnd-24.05.2024.001 | uk_UA |
| dc.relation.references | 22. tshark(1). (n.d.). Retrieved from https://www.wireshark.org/docs/man-pages/tshark.html | uk_UA |
| dc.relation.references | 23. Kali docs | kali linux documentation. Kali Linux. URL: https://www.kali.org/docs/. | uk_UA |
| dc.relation.references | 24. Yevseiev S., Ponomarenko V., Laptiev O., Milov O., Korol O., Milevskyi S. et. al.. Synergy of building cybersecurity systems. Kharkiv: РС ТЕСHNOLOGY СЕNTЕR, 2021. 188 p. DOI: https://doi.org/10.15587/978-617-7319-31-2 | uk_UA |
| dc.relation.references | 25. Karpinski M., Korchenko A., Vikulov P., Kochan R. The Etalon Models of Linguistic Variables for Sniffing-Attack Detection, in Intelligent Data Acquisition and Advanced Computing Systems: Technology and Applications (IDAACS), 2017 IEEE 9th International Conference on, 2017, pp. 258-264. | uk_UA |
| dc.relation.references | 26. Тригубець, Б., Тригубець, М., & Загородна, Н. (2024). Аналіз ефективності використання безкоштовних та комерційних сканерів вразливостей для веб-застосунків електронної комерції. Вісник Тернопільського національного технічного університету, 116(4), 23-30. | uk_UA |
| dc.relation.references | 27. Derkach, M., Matiuk, D., Skarga-Bandurova, I., & Zagorodna, N. (2025). CrypticWave: A zero-persistence ephemeral messaging system with client-side encryption. | uk_UA |
| dc.relation.references | 28. Karpiński, M., Revniuk, O., Tymoshchuk, D., Kozak, R., & Tokkuliyeva, A. (2025). Fuzzy logic system as a component of the web application security information system (short paper). CEUR Workshop Proceedings, Article 4042. http://ceur-ws.org/Vol-4042/short4.pdf | uk_UA |
| dc.relation.references | 29. Деркач М. В., Хомишин В. Г., Гудзенко В. О. Тестування безпеки вебресурсу на базі інструментів для сканування та виявлення вразливостей. Наукові вісті Далівського університету. 2023. №25. | uk_UA |
| dc.relation.references | 30. Катренко Л.А., Катренко А.В. Охорона праці в галузі комп’ютинґу. Львів: Магнолія-2006. 2012. 544 с. | uk_UA |
| dc.relation.references | 31. Шкідливий вплив персонального комп’ютера на здоров’я людини. URL: https://ir.lib.vntu.edu.ua/bitstream/handle/123456789/21370/5363.pdf (дата звернення: 16.12.2023). | uk_UA |
| dc.relation.references | 32. Як захиститися від синього світла на телефоні та ПК: простий алгоритм. URL: https://my.ua/news/cluster/2023-05-03-iak-zakhistitisia-vid-sinogo-svitla-na-telefoni-ta-pk-prostii-algoritm (дата звернення: 16.12.2023). | uk_UA |
| dc.contributor.affiliation | ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна | uk_UA |
| dc.coverage.country | UA | uk_UA |
| Apareix a les col·leccions: | 125 — кібербезпека, Кібербезпека та захист інформації | |
Arxius per aquest ítem:
| Arxiu | Descripció | Mida | Format | |
|---|---|---|---|---|
| Kashchyn_Vitalii_SBm_61_2025.pdf | 2,75 MB | Adobe PDF | Veure/Obrir |
Els ítems de DSpace es troben protegits per copyright, amb tots els drets reservats, sempre i quan no s’indiqui el contrari.
Eines d'Administrador