nghttp2 的 nghttpx 代理（版本 1.69.0 及之前）在处理 HTTP/1.1 Upgrade 请求时存在一个漏洞。当请求同时携带 Content-Length 头部和请求体时，代理会将该请求转发到可复用的后端 keep-alive 连接上，但错误地重新添加了 Upgrade 和 Connection 头部，同时原样传递 Content-Length 头部。这导致后端接收到一个语义模糊的请求：Upgrade 和 Content-Length 同时存在，标准 HTTP 规范禁止这种情况。恶意攻击者可以利用这一歧义，构造一个恶意请求，使得后端以攻击者希望的方式解析消息，从而实现 HTTP 请求/响应走私（Request Smuggling）和跨客户端响应队列中毒（Cross-Client Response-Queue Poisoning）。具体来说，攻击者可以通过精心设计的请求，使得一个后端连接上的多个客户端请求相互干扰，将本应返回给其他客户端的响应投送到攻击者控制的客户端，窃取敏感信息或劫持会话。CVSS 评分为 5.4（中等风险），攻击复杂度较高（需要特殊构造）且需要网络访问，但无需认证。该漏洞影响所有使用 nghttpx 作为正向或反向代理的场景。

本文对中国的“机场”（Airport）——一种订阅制的审查规避代理服务——进行了首次系统性的研究。研究结合了用户调查、社交媒体分析和主动网络测量。通过对1,667名用户的调查发现，“机场”是目前中国最流行的现成审查规避工具，超过一半的受访者使用过，主要原因是易用性、性能以及访问地理限制服务（如ChatGPT和Netflix）的能力。通过扫描互联网和爬取Telegram公告频道，研究者识别出3,431个活跃的“机场”，这些服务基于少数开源工具包构建。研究者订阅了35个“机场”并评估了其性能，发现由于其独特的多跳架构，性能往往优于直接通过中国防火长城（Great Firewall）的连接。然而，“机场”也带来了新的挑战和安全风险：它们通过支付宝等商业服务接受支付，频繁遭受政府打击，且客户端难以进行最优配置。许多“机场”还部署了自身的审查策略。总之，“机场”比学术文献中其他规避工具的使用范围更广，但引入了新的脆弱性和控制点，为未来的审查规避研究提供了经验教训和机遇。本文适合网络安全研究员、政策制定者以及审查规避技术开发者阅读。