Л веб системи где фронтенд прихвата везе путем ХТТП / 2 и прослеђује их позадини путем ХТТП / 1.1 хбили изложени новој верзији напада „ХТТП кријумчарење захтева“, Омогућава слањем посебно дизајнираних захтева клијената да подели садржај захтева других корисника обрађених у истом току између интерфејса и позадине.
Напад може се користити за убризгавање злонамерног ЈаваСцрипт кода у сесији са легитимном веб локацијом, заобиђите системе ограничења приступа и пресретите параметре аутентификације.
Аутор студије показао могућност напада на Нетфлик, Веризон, Битбуцкет, Нетлифи ЦДН и Атлассиан системе, и добио 56.000 долара у програмима награђивања за идентификацију рањивости. Проблем је такође потврђен у производима Ф5 Нетворкс.
Проблем делимично утиче на мод_проки на Апацхе хттп серверу (ЦВЕ-2021-33193), поправци се очекују у верзији 2.4.49 (програмери су обавештени о проблему почетком маја и дато им је 3 месеца да га реше). У нгинк-у је могућност истовременог навођења заглавља "Цонтент-Ленгтх" и "Трансфер-Енцодинг" блокирана у претходној верзији (1.21.1).
Принцип рада нове методе одговарајућих захтева у саобраћају је слична рањивости коју је исти истраживач открио пре две године, али је ограничен на интерфејсе који прихватају захтеве преко ХТТП / 1.1.
Класични напад „Кријумчарење ХТТП захтева“ заснован је на чињеници да фронтендс и бацкхендс различито тумаче употребу ХТТП заглавља „Цонтент-Ленгтх“ (одређује укупну величину података у захтеву) и „Трансфер-Енцодинг: цхункед“ ( омогућава пренос података у деловима) ...
На пример, ако интерфејс подржава само „Цонтент-Ленгтх“, али занемарује „Трансфер-Енцодинг: фрагментед“, нападач може послати захтев који садржи заглавља „Цонтент-Ленгтх“ и „Трансфер-Енцодинг: фрагментед“, али величине јв.орг "Дуљина садржаја" не подудара се с величином насјецканог низа. У овом случају, фронтенд ће обрадити и преусмерити захтев према "Садржају дужине", а позадина ће чекати да се блок заврши на основу "Трансфер енцодинг: цхункед".
За разлику од текстуалног ХТТП / 1.1 протокола, који је рашчлањен на линијском нивоу, ХТТП / 2 је бинарни протокол и манипулише блоковима подаци унапред одређене величине. Међутим, ХТТП / 2 користите псеудо-заглавља који одговарају нормалним ХТТП заглављима. Приликом интеракције са позадином користећи ХТТП / 1.1 протокол, предњи део преводи ове псеудозаглавља у сличним ХТТП / 1.1 ХТТП заглављима. Проблем је у томе што позадина доноси одлуке о анализи преноса на основу ХТТП заглавља постављених од стране интерфејса, без познавања параметара првобитног захтева.
Чак и у облику псеудо-заглавља, вредности „Цонтент-ленгтх“ и „трансфер-енцодинг“ могу се преносити, иако се не користе у ХТТП / 2, будући да се величина свих података одређује у посебном пољу. Међутим, приликом претварања ХТТП / 2 захтева у ХТТП / 1.1, ова заглавља пролазе и могу бити збуњујућа за позадину.
Постоје две главне опције напада: Х2.ТЕ и Х2.ЦЛ, у којем позадину завара погрешно кодирање преноса или вредност дужине садржаја која не одговара стварној величини тела захтева који је интерфејс примио преко ХТТП / 2 протокола.
Као пример Х2.ЦЛ напада, у псеудо-заглављу је наведена нетачна величина дужина садржаја приликом подношења захтева ХТТП / 2 на Нетфлик. Овај захтев доводи до додавања заглавља ХТТП Цонтент-Ленгтх слично при приступу позадини путем ХТТП / 1.1, али будући да је величина у Дужина садржаја је мањи од стварног, део података у реду се обрађује као почетак следећег захтева.
Алати за напад већ су додати у Бурпов приручник и доступни су као проширење Турбо Интрудер. Веб проксији, баланси учитавања, веб акцелератори, системи за испоруку садржаја и друге конфигурације у којима се захтеви преусмеравају у предњој позадинској шеми подложни су проблему.
izvor: https://portswigger.net