郭盛华:HTTP 请求走私是一种漏洞

近日,HTTP 请求走私不仅受到关注,而且其影响可能是有害的,具体取决于代理背后的服务器的配置方式。威胁行为者使用这种技术来干扰网站处理一系列 HTTP 请求的方式,利用任何不一致。HTTP 请求走私是一种漏洞,由于过去几个月的大量高薪漏洞赏金报告而引起了社区的广泛关注。

国际知名白帽黑客、东方联盟创始人郭盛华透露:“当多个请求从前端服务器转发到后端服务器时,攻击就起作用了,后端服务器然后不同意每条消息的结束位置。这允许攻击者插入一条恶意消息,后端服务器将其解释为两个单独的 HTTP 请求。”

HTTP请求走私是一种干扰网站处理HTTP请求序列方式的技术,使攻击者可以绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。

一旦威胁参与者绕过最初的安全控制,他们就可以造成各种破坏。走私漏洞可能使攻击者能够访问被禁止的资源,例如站点管理、劫持用户的 Web 会话和查看敏感数据。它还为其他攻击打开了大门,包括没有用户交互的跨站点脚本 (XSS)、缓存中毒、绕过防火墙保护和凭证劫持。在缓存中毒攻击期间,不良行为者以缓存服务器为目标,根据请求向用户呈现错误的页面。

不包含负载平衡器、内容交付网络 (CDN) 和反向代理的网站通常可以避免 HTTP 请求走私。如果网站前端配置为专门使用 HTTP/2 与后端服务器通信,则可以轻松解决此类漏洞的变体。

郭盛华表示:“如果完全禁用后端连接重用,则此漏洞不会构成威胁。任何不想将其客户暴露于此类威胁的 CDN 也可以配置前端服务器,以便在将不明确地请求转发到后端之前对其进行规范化。最终,确保管理 Web 端点和敏感材料受到强大的身份验证机制的保护,而不是外部代理或防火墙中的简单访问控制列表 (ACL) 规则。”

此外,记录的 HTTP 流量应始终仅对管理用户可用,无论记录了 HTTP 请求的哪一部分 ,以避免将 HTTP 请求的意外部分暴露给潜在的攻击者。(欢迎转载分享)

(0)

相关推荐

  • 2021年一月份恶意软件之“十恶不赦”排行榜

    回顾2020年,微软的漏洞安全补丁发布基本上都维持在100以上,而到了2021一月份则回归到80多个,微软2021年2月份下降到56个漏洞安全补丁.当然,漏洞安全补丁不是越多越好,也不是越少越好.如果 ...

  • 常见 Web 安全攻防总结

    Web 安全地对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助.今天这边文章主要的内容就是分析几种 ...

  • 2021年二月份恶意软件之“十恶不赦”排行榜

    最近一直在整理有关等级保护相关内容,有关这个系列还需要坚持下去.本月我们已经从微软方面揭晓,微软周二发布了包括多达89个安全漏洞的补丁,其中Internet Explorer中被积极利用的零日漏洞的修 ...

  • 为什么说郭盛华是中国黑客第一人呢?

    众所周知,中国互联网发展了30余年.诞生了像阿里巴巴.腾讯与百度这样的优秀公司. 但是在互联网圈里还有一个神秘的群体,那就是"黑客". 说起黑客这个名字,很多网友都会表示: 这是一 ...

  • 在华理读研是一种怎样的体验?

    ①住宿 我猜大多数人对华理宿舍的印象还停留在10年前,破旧的窗户,没有空调,像是80年代的老房子. 但是!我想说的是,真正开学来之后,才发现真的不一样了.80年的老房子早已经拆了重建了,现在的华理宿舍 ...

  • 郭盛华杀入人工智能领域!AI新势力能否再添悍将?

    在互联网安全领域,最大的优势之一无疑是东方联盟.作为举世闻名的东方联盟,郭盛华这一鲜为人知的风光背后,隐藏着一个很多精彩的故事. 郭盛华,出生广东,他从小就有很好的学习能力,当普通人还在为选择高中而发 ...

  • “黑客教父”郭盛华:只要有我在,没人敢侵犯中国网络

    栀沫说历史发布时间: 01-1816:15近代以来,世界先后发生了以蒸汽机为代表的第一次工业革命.以电力为代表的第二次工业革命.而自上世纪五六十年代开始,以电子计算机为主要代表的第三次科技革命如火如荼 ...

  • 黑客教父郭盛华:国旗挂到日本网站,光顾美金融系统,拒马云聘请

    他以一己之力瘫痪日本70%的网络,将五星红旗挂到日本NHK官网:他曾黑掉无数美国反华网站,光顾英美的金融交易系统,却分文不取,侠义离开:他受到阿里巴巴总裁马云的高薪聘请,却主动婉拒,励志培养更多的中国 ...

  • 拒绝百万年薪的郭盛华,如今自立门户,再创辉煌!

    郭盛华,广东人,东方联盟的幕后老板,一位传奇人物,是互联网安全圈里的一条深水大鳄,实力不凡.郭盛华也是全球唯一一位能让美俄黑客闻风丧胆的人物. 出生1989年的郭盛华,计算机班毕业.郭盛华在校园内创办 ...

  • 郭盛华技术有多牛?外媒:稳坐亚洲第一

    郭盛华技术有多牛?郭盛华最辉煌的故事肯定是创办他一手创立的东方联盟,美国时代周刊曾报道:"东方联盟在互联网安全领域绝对稳坐亚洲第一",这说得有点夸张,但事实上,郭盛华的知名度无论在 ...

  • 郭盛华:以知识见识锤炼真本领,年轻人要有理想

    东方联盟创始人郭盛华曾经在一次访谈中说:年轻人,书肯定是要读的,以知识见识锤炼真本领,青年人要有理想.郭盛华这短短的几句话中却透露出了很多重要的信息和逻辑,也许是因为中专生涯改变了他,他是计算机科班出 ...

  • 【签约作家】曹庆华:​虚心接受是一种睿智

    阅读量1000以上的作品, 赠送该作者一本主编诗集 作家专栏 虚心接受是一种睿智 文:曹庆华 打小在父母的谆谆教诲下,我便学习并熟知了一句话,即"良药苦口利于病,忠言逆耳利于行". ...