Иногда кажется, что найден HTTP request smuggling, а на деле это всего лишь HTTP keep-alive или pipelining. Обычно это ложное срабатывание, но иногда за этим действительно скрывается уязвимость. Здесь разбирается, как отличить одно от другого.
Разобраться[Перевод] Остерегайтесь «ложного ложноположительного»: как отличить HTTP pipelining от request smuggling