Фундаментальная уязвимость протокола HTTP/1.1 В HTTP/1.1 запросы просто склеиваются друг с другом в одном сетевом соединении. Если разные серверы (фронтенд и бэкенд) по-разному интерпретируют длину сообщения, то злоумышленник может отрезать часть своего запроса и подставить эту часть в начало запроса следующего пользователя. Это приводит к атаке типа request smuggling. Единственный надежный способ защиты: переход на HTTP/2 во внутренней сети, так как это протокол с четким разделением сообщений. Поверхность атаки огромная. Удивительно, что не сразу обратил внимание на это исследование в рейтинге. Делаю ставку, что в следующий вторник, когда будет опубликован финальный список Топ-10, эта техника будет на первом месте. 😎 @makrushin