# HTTP Connection Contamination {{#include ../banners/hacktricks-training.md}} **यह पोस्ट का सारांश है: [https://portswigger.net/research/http-3-connection-contamination](https://portswigger.net/research/http-3-connection-contamination)**. आगे की जानकारी के लिए इसे देखें! वेब ब्राउज़र विभिन्न वेबसाइटों के लिए एकल HTTP/2+ कनेक्शन का पुन: उपयोग कर सकते हैं [HTTP connection coalescing](https://daniel.haxx.se/blog/2016/08/18/http2-connection-coalescing) के माध्यम से, जब साझा IP पते और एक सामान्य TLS प्रमाणपत्र हो। हालाँकि, यह **पहली-बार अनुरोध रूटिंग** के साथ संघर्ष कर सकता है जो रिवर्स-प्रॉक्सी में होता है, जहाँ बाद के अनुरोध पहले अनुरोध द्वारा निर्धारित बैक-एंड की ओर निर्देशित होते हैं। यह गलत रूटिंग सुरक्षा कमजोरियों का कारण बन सकती है, विशेष रूप से जब इसे वाइल्डकार्ड TLS प्रमाणपत्रों और `*.example.com` जैसे डोमेन के साथ जोड़ा जाता है। उदाहरण के लिए, यदि `wordpress.example.com` और `secure.example.com` दोनों को एक ही रिवर्स प्रॉक्सी द्वारा सेवा दी जाती है और एक सामान्य वाइल्डकार्ड प्रमाणपत्र है, तो एक ब्राउज़र का कनेक्शन कोलेसिंग `secure.example.com` के लिए अनुरोधों को गलत तरीके से वर्डप्रेस बैक-एंड द्वारा संसाधित कर सकता है, जिससे XSS जैसी कमजोरियों का लाभ उठाया जा सकता है। कनेक्शन कोलेसिंग का अवलोकन करने के लिए, Chrome का नेटवर्क टैब या Wireshark जैसे उपकरणों का उपयोग किया जा सकता है। परीक्षण के लिए यहाँ एक स्निपेट है: ```javascript fetch("//sub1.hackxor.net/", { mode: "no-cors", credentials: "include" }).then( () => { fetch("//sub2.hackxor.net/", { mode: "no-cors", credentials: "include" }) } ) ``` खतरा वर्तमान में पहले-निवेदन रूटिंग की दुर्लभता और HTTP/2 की जटिलता के कारण सीमित है। हालाँकि, HTTP/3 में प्रस्तावित परिवर्तन, जो IP पते के मिलान की आवश्यकता को ढीला करते हैं, हमले की सतह को चौड़ा कर सकते हैं, जिससे वाइल्डकार्ड प्रमाणपत्र वाले सर्वर बिना MITM हमले की आवश्यकता के अधिक संवेदनशील हो सकते हैं। सर्वोत्तम प्रथाओं में रिवर्स प्रॉक्सी में पहले-निवेदन रूटिंग से बचना और वाइल्डकार्ड TLS प्रमाणपत्रों के साथ सतर्क रहना शामिल है, विशेष रूप से HTTP/3 के आगमन के साथ। इन जटिल, आपस में जुड़े कमजोरियों की नियमित परीक्षण और जागरूकता वेब सुरक्षा बनाए रखने के लिए महत्वपूर्ण हैं। {{#include ../banners/hacktricks-training.md}}