HTTP eskaera kontrabandoaren erasoaren bertsio berria aurkitu dute

The frontend-ak HTTP / 2 bidez konexioak onartzen dituen web sistemak eta backend-era HTTP / 1.1 h bidez pasatzen ditu"HTTP eskaera kontrabandoa" erasoaren bertsio berri bat jasan dute, Berariaz diseinatutako bezeroen eskaerak bidaliz, frontendaren eta backendaren artean fluxu berean prozesatutako beste erabiltzaile batzuen eskaeren edukian banatzeko aukera ematen du.

Erasoa erabil daiteke JavaScript kode maltzurra injektatzeko gune legitimoa duen saioan, sarbidea murrizteko sistemak saihestu eta autentifikazio parametroak atzeman.

Ikerketaren egilea Netflix, Verizon, Bitbucket, Netlify CDN eta Atlassian sistemak erasotzeko aukera erakutsi zuen, eta 56.000 $ jaso zituen ahultasunak identifikatzeagatik saritutako programetan. F5 Networks produktuetan ere arazoa berretsi da.

Arazoa partzialki mod_proxyri eragiten dio Apache http zerbitzarian (CVE-2021-33193), 2.4.49 bertsioan espero ziren konponketak (garatzaileei arazoaren berri maiatzaren hasieran eman zitzaien eta 3 hilabete jaso zituzten konpontzeko). Nginx-en, "Edukiaren luzera" eta "Transferentzia-kodeketa" goiburuak aldi berean zehazteko aukera blokeatu zen aurreko bertsioan (1.21.1).

Metodo berriaren funtzionamendu printzipioa trafikoan eskaerak bat etortzea ikertzaile berak duela bi urte aurkitu zuen ahultasunaren antzekoa da, baina HTTP / 1.1 bidez eskaerak onartzen dituzten interfazeetara mugatzen da.

"HTTP eskaera kontrabandoa" eraso klasikoa frontendek eta backendek HTTP "Edukiaren luzera" goiburuen erabilera modu desberdinean interpretatzen dute (eskaeran datuen guztizko tamaina zehazten du) eta "Transferentzia-kodeketa: zatiak" ( datuak zatitan transferitzeko aukera ematen du) ...

Adibidez, interfazeak "Eduki-luzera" soilik onartzen badu baina "Transferentzia-kodeketa: zatituta" baztertzen badu, erasotzaile batek "Eduki-luzera" eta "Transferentzia-kodeketa: zatituta" goiburuak dituen eskaera bidali dezake, baina tamaina eu "Edukiaren luzera" ez dator bat katearen zatiaren tamainarekin. Kasu honetan, frontend-ek eskaera "Edukiaren luzeraren" arabera prozesatuko du eta birbideratuko du, eta backend-ak blokea amaitzeko itxaron egingo du "Transferitu kodeketa: zatituta" oinarrituta.

Testu HTTP / 1.1 protokoloak ez bezala, lerro mailan analizatzen dena, HTTP / 2 protokolo bitarra da eta blokeak manipulatzen ditu aurrez zehaztutako tamainako datuak. Hala ere, HTTP / 2 sasi-goiburuak erabili HTTP goiburu arruntei dagozkienak. Motorrarekin elkarreraginean ari zarenean HTTP / 1.1 protokoloa erabiliz, frontendean sasi-goiburu hauek itzultzen dira antzeko HTTP / 1.1 HTTP goiburuetan. Arazoa da backend-ak transmisioaren analisiaren inguruko erabakiak hartzen dituela frontend-ek ezarritako HTTP goiburuetan oinarrituta, jatorrizko eskaeraren parametroak ezagutu gabe.

Sasi-goiburuen moduan ere, balioak "Eduki-luzera" eta "transferentzia-kodeketa" erreproduzitu egin daitezke, HTTP / 2-n erabiltzen ez diren arren, datu guztien tamaina beste eremu batean zehazten baita. Hala ere, HTTP / 2 eskaera HTTP / 1.1 bihurtzerakoan, goiburu hauek igarotzen dira eta nahasgarriak izan daitezke backenderako.

Bi eraso aukera nagusi daude: H2.TE eta H2.CL, eta bertan, backend-a engainatzen da transferentzia kodeketa oker batek edo edukiaren luzera-balio batek frontend-ak HTTP / 2 protokoloaren bidez jasotako eskaera-gorputzaren benetako tamainarekin bat ez datorrenarekin.

H2.CL erasoaren adibide gisa, tamaina okerra zehazten da sasi-goiburuan edukiaren luzera eskaera aurkeztean HTTP / 2 Netflix-era. Eskaera honek goiburua gehitzea dakar HTTP edukiaren luzera antzekoa HTTP / 1.1 bidez backendera sartzean, baina tamainan Eduki-Length benetakoa baino txikiagoa da, ilaran dauden datuen zati bat hurrengo eskaeraren hasieran prozesatzen da.

Eraso tresnak dagoeneko gehitu dira Burp-en Toolkit-ean eta Turbo Intruder luzapen gisa eskuragarri daude. Web proxiak, karga orekatzaileak, web azeleragailuak, edukia entregatzeko sistemak eta eskaerak frontend-backend eskeman birbideratzen diren beste konfigurazio batzuek arazoa jasaten dute.

Fuente: https://portswigger.net


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.