Waxay heleen nooc cusub oo ah HTTP Codsi Tahriibin Codsi

Darkcrizt

Daqiiqado 4

ka nidaamyada shabakadda halkaas oo safka hore uu aqbalo isku xirnaanta HTTP / 2 wuxuuna u gudbiyaa gadaasha gadaal iyada oo loo marayo HTTP / 1.1 hayaa lagu soo bandhigay nooc cusub oo ah "Codsi Tahriibinta Codsiga HTTP", Waxay u oggolaaneysaa inay dirto codsiyada macmiilka oo si gaar ah loo qaabeeyey, si loogu qaybiyo nuxurka codsiyada isticmaaleyaasha kale ee lagu socodsiiyay isla socodka u dhexeeya safka hore iyo kan dambe.

Weerarka waxaa loo isticmaali karaa in lagu duro koodhka JavaScript ee xaasidnimada ah kalfadhi leh goob sharci ah, ka gudub nidaamyada xaddidaadda marin u helka iyo xadaynta xaqiijinta.

Qoraaga daraasadda waxay muujisay suurtagalnimada in la weeraro Netflix, Verizon, Bitbucket, Netlify CDN iyo nidaamyada Atlassian, waxayna heshay $ 56.000 barnaamijyo abaalmarin ah oo lagu aqoonsanayo dayacanka. Dhibaatada ayaa sidoo kale lagu xaqiijiyay alaabooyinka F5 Networks.

Dhibaatada qayb ahaan waxay saameysaa mod_proxy server -ka Apache http (CVE-2021-33193), hagaajinnada laga filayo nooca 2.4.49 (soo-saareyaasha ayaa la ogeysiiyay dhibaatada horraantii Maajo waxaana la siiyay 3 bilood si ay u hagaajiyaan). In nginx, awoodda in si isku mid ah loo cayimo madaxyada "Content-Length" iyo "Transfer-Encoding" ayaa lagu xanibay nuqulkii hore (1.21.1).

Mabda'a hawlgalka habka cusub ee codsiyada u dhigma ee taraafikada waxay la mid tahay nuglaanta uu isla cilmi -baaraha helay laba sano ka hor, laakiin waxay ku kooban tahay is -dhexgalka aqbala codsiyada ka sarreeya HTTP / 1.1.

Weerarka caadiga ah ee "Codsiga Tahriibinta Codsiga HTTP" wuxuu ku salaysnaa xaqiiqda ah in horjoogayaasha iyo kuwa gadaal gadaal u fasiraan adeegsiga madaxyada HTTP "Content-Length" si kala duwan (waxay go'aamiyaan cabbirka guud ee xogta ku jirta codsiga) iyo "Beddelka-Coding: chunked" ( wuxuu kuu oggolaanayaa inaad ku wareejiso xogta qaybo) ...

Tusaale ahaan, haddii is-dhexgalku kaliya taageerayo "Content-Length" laakiin iska indho-tiray "Beddelidda-Codsiga: kala jajaban", weeraryahanku wuxuu soo diri karaa codsi ay ku jiraan madaxyada "Content-Length" iyo "Transfer-Encoding: fragmented", laakiin cabbirka ha "Dhererka Mawduuca" kuma eka cabbirka xadhigga googo'an. Xaaladdan oo kale, safka hore ayaa ka baaraandegi doona oo dib u hagaajin doona codsiga iyada oo la raacayo "Dhererka Mawduuca", gadaashuna waxay sugi doontaa in baloogku dhammaystiro iyada oo ku saleysan "Beddelka Beddelka: la jeexjeexay".

Si ka duwan hab -maamuuska qoraalka ee HTTP / 1.1, kaas oo lagu saleeyo heerka xariiqda, HTTP / 2 waa borotokool laba -geesood ah oo wax ka qabta baloogyada xogta cabbir hore loo cayimay. Si kastaba ha noqotee, HTTP / 2 isticmaal madax-been abuur kaas oo u dhigma madaxyada HTTP ee caadiga ah. Markaad la falgaleyso gadaal adeegsiga borotokoolka HTTP / 1.1, safka hore wuxuu tarjumayaa madaxyadaan been abuurka ah oo la mid ah cinwaannada HTTP / 1.1 HTTP. Dhibaatadu waxay tahay in gadaalku go'aaminayo ku saabsan falanqaynta gudbinta oo ku saleysan madaxyada HTTP ee ay dejisay safka hore, adigoon ogayn xuduudaha codsiga asalka ah.

Xitaa qaab madax-been abuur ah, qiyamka "Dhererka Mawduuca" iyo "beddelka-wareejinta" waa la daawan karaa, inkasta oo aan lagu isticmaalin HTTP / 2, maadaama cabirka xogta oo dhan lagu go'aamiyay goob gaar ah. Si kastaba ha noqotee, marka loo rogayo codsi HTTP / 2 HTTP / 1.1, madaxyadan ayaa soo mara waxayna ku wareersan yihiin gadaasha dambe.

Waxaa jira laba ikhtiyaar oo weerar oo waaweyn: H2.TE iyo H2.CL, kaas oo gadaashiisa lagu khiyaameeyay koodh -wareejin khaldan ama qiimaha dhererka nuxurka oo aan u dhigmin cabbirka dhabta ah ee hay'adda codsiga ee uu helay horjoogaha iyada oo loo marayo Protocol -ka HTTP / 2.

Tusaale ahaan weerarka H2.CL, cabbir aan sax ahayn ayaa lagu qeexay cinwaanka madaxa dhererka nuxurka marka la gudbinayo codsi HTTP / 2 ilaa Netflix. Codsigan wuxuu horseedaa in lagu daro madax Dhexdhexaadka HTTP-Dhexdiisa la mid ah marka la galayo dhabarka dambe iyada oo loo marayo HTTP / 1.1, laakiin tan iyo cabirka Dhererka Maaddada wuu ka yar yahay kan dhabta ah, qayb ka mid ah xogta ku jirta safka ayaa laga baaraandegaa sidii bilowga codsiga xiga.

Aaladaha Weerarka ayaa mar hore lagu daray Qalabka Burp waxaana loo heli karaa Turbo Intruder extruder. Hawl-wadeennada shabakadda, dheelitirka culeyska, dardar-geliyaha webka, nidaamyada gudbinta nuxurka, iyo qaababka kale ee codsiyada lagu wareejiyo nidaamka hore-gadaal ayaa u nugul dhibaatada.

source: https://portswigger.net


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.