郭盛华:HTTP 请求走私是一种漏洞
近日,HTTP 请求走私不仅受到关注,而且其影响可能是有害的,具体取决于代理背后的服务器的配置方式。威胁行为者使用这种技术来干扰网站处理一系列 HTTP 请求的方式,利用任何不一致。HTTP 请求走私是一种漏洞,由于过去几个月的大量高薪漏洞赏金报告而引起了社区的广泛关注。
国际知名白帽黑客、东方联盟创始人郭盛华透露:“当多个请求从前端服务器转发到后端服务器时,攻击就起作用了,后端服务器然后不同意每条消息的结束位置。这允许攻击者插入一条恶意消息,后端服务器将其解释为两个单独的 HTTP 请求。”
HTTP请求走私是一种干扰网站处理HTTP请求序列方式的技术,使攻击者可以绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。
一旦威胁参与者绕过最初的安全控制,他们就可以造成各种破坏。走私漏洞可能使攻击者能够访问被禁止的资源,例如站点管理、劫持用户的 Web 会话和查看敏感数据。它还为其他攻击打开了大门,包括没有用户交互的跨站点脚本 (XSS)、缓存中毒、绕过防火墙保护和凭证劫持。在缓存中毒攻击期间,不良行为者以缓存服务器为目标,根据请求向用户呈现错误的页面。
不包含负载平衡器、内容交付网络 (CDN) 和反向代理的网站通常可以避免 HTTP 请求走私。如果网站前端配置为专门使用 HTTP/2 与后端服务器通信,则可以轻松解决此类漏洞的变体。
郭盛华表示:“如果完全禁用后端连接重用,则此漏洞不会构成威胁。任何不想将其客户暴露于此类威胁的 CDN 也可以配置前端服务器,以便在将不明确地请求转发到后端之前对其进行规范化。最终,确保管理 Web 端点和敏感材料受到强大的身份验证机制的保护,而不是外部代理或防火墙中的简单访问控制列表 (ACL) 规则。”
此外,记录的 HTTP 流量应始终仅对管理用户可用,无论记录了 HTTP 请求的哪一部分 ,以避免将 HTTP 请求的意外部分暴露给潜在的攻击者。(欢迎转载分享)