Jardines de Viveros ön ucun HTTP / 2 üzerinden bağlantıları kabul ettiği web sistemleri ve bunları HTTP / 1.1 h aracılığıyla arka uca iletir"HTTP Request Smuggling" saldırısının yeni bir versiyonuna maruz kalmışsanız, Özel olarak tasarlanmış istemci istekleri göndererek, aynı akışta işlenen diğer kullanıcıların isteklerinin içeriğini ön uç ve arka uç arasında bölmeye izin verir.
Saldırı kötü amaçlı JavaScript kodunu enjekte etmek için kullanılabilir meşru bir siteye sahip bir oturumda, erişim kısıtlama sistemlerini atlayın ve kimlik doğrulama parametrelerini durdurun.
Çalışmanın yazarı Netflix, Verizon, Bitbucket, Netlify CDN ve Atlassian sistemlerine saldırma olasılığını gösterdi, ve güvenlik açıklarını belirlemek için ödül programlarında 56.000 ABD doları aldı. Sorun F5 Networks ürünlerinde de onaylandı.
sorun Apache http sunucusunda mod_proxy'yi kısmen etkiler (CVE-2021-33193), sürüm 2.4.49'da düzeltmeler bekleniyor (geliştiricilere sorun Mayıs başında bildirildi ve düzeltmeleri için 3 ay süre verildi). Nginx'te, "Content-Length" ve "Transfer-Encoding" başlıklarını aynı anda belirleme yeteneği önceki sürümde (1.21.1) engellendi.
Yeni yöntemin çalışma prensibi trafikte eşleşen isteklerin sayısı aynı araştırmacı tarafından iki yıl önce keşfedilen güvenlik açığına benzer, ancak HTTP / 1.1 üzerinden istekleri kabul eden arayüzlerle sınırlıdır.
Klasik "HTTP İstek Kaçakçılığı" saldırısı, ön uçların ve arka uçların HTTP "Content-Length" başlıklarının kullanımını farklı şekilde yorumlaması (istekteki verilerin toplam boyutunu belirler) ve "Transfer-Kodlama: yığınlanmış" ( verileri parçalar halinde aktarmanıza izin verir) ...
Örneğin, arayüz yalnızca "İçerik Uzunluğu"nu destekliyor ancak "Aktarım-Kodlama: parçalı"yı yok sayıyorsa, saldırgan "İçerik Uzunluğu" ve "Aktarım-Kodlama: parçalanmış" başlıklarını içeren bir istek gönderebilir, ancak boyutu tr "İçeriğin uzunluğu", yığınlanmış dizenin boyutuyla eşleşmiyor. Bu durumda, ön uç, isteği "İçerik uzunluğuna" göre işleyecek ve yeniden yönlendirecek ve arka uç, "Aktarım kodlaması: yığınlanmış" temelinde bloğun tamamlanmasını bekleyecektir.
Satır düzeyinde ayrıştırılan metinsel HTTP/1.1 protokolünün aksine, HTTP / 2 ikili bir protokoldür ve blokları yönetir önceden belirlenmiş bir boyuttaki veriler. Ancak HTTP/2 sözde başlıklar kullan normal HTTP başlıklarına karşılık gelen. Arka uçla etkileşim kurarken HTTP/1.1 protokolünü kullanarak, ön uç bu sözde başlıkları çevirir benzer HTTP / 1.1 HTTP başlıklarında. Sorun, arka ucun iletimin analizi hakkında kararlar vermesidir. ön uç tarafından ayarlanan HTTP başlıklarına göre, orijinal isteğin parametrelerini bilmeden.
Sözde başlıklar biçiminde bile, değerler "İçerik uzunluğu" ve "aktarım kodlaması" tüm verilerin boyutu ayrı bir alanda belirlendiği için HTTP/2'de kullanılmasalar da stream edilebilirler. Ancak bir HTTP/2 isteğini HTTP/1.1'e dönüştürürken bu başlıklar geçer ve arka uç için kafa karıştırıcı olabilir.
İki ana saldırı seçeneği vardır: H2.TE ve H2.CL, arka ucun yanlış bir aktarım kodlaması veya ön uç tarafından HTTP / 2 Protokolü aracılığıyla alınan istek gövdesinin gerçek boyutuna karşılık gelmeyen bir içerik uzunluğu değeri tarafından kandırıldığı.
H2.CL saldırısının bir örneği olarak, sözde başlıkta yanlış bir boyut belirtildi bir istek gönderirken içerik uzunluğu HTTP / 2'den Netflix'e. Bu istek bir başlığın eklenmesine yol açar HTTP İçerik Uzunluğu HTTP / 1.1 üzerinden arka uca erişirken benzer, ancak İçerik Uzunluğu gerçek değerden daha az ise, kuyruktaki verilerin bir kısmı bir sonraki isteğin başlangıcı olarak işlenir.
Saldırı Araçları, Burp'un Araç Kitine zaten eklenmiştir ve bir Turbo Intruder uzantısı olarak mevcuttur. Web proxy'leri, yük dengeleyicileri, web hızlandırıcıları, içerik teslim sistemleri ve isteklerin bir ön uç-arka uç şemasında yeniden yönlendirildiği diğer yapılandırmalar soruna açıktır.
kaynak: https://portswigger.net