研究人员发现了利用标记语言的新方法
对某些缓存服务器的鲜为人知的攻击可能会导致关键的安全漏洞,包括远程代码执行(RCE)和跨站脚本((XSS),研究人员发现。
该利用涉及在使用边缘侧包含的HTML缓存配置中注入恶意XML标签。
Edge Side包括或ESI是一种基于XML的标记语言,用于临时存储未通过常规Web缓存协议保存的动态Web文件。beplay体育能用吗
它是为了提高网页可访问性而发明的,但仅由某些代理服务器beplay体育能用吗(例如Akamai或Varnish)处理。
“攻击者可以通过在被拦截的网页中注入恶意标签来滥用这种机制,”戈辛研究员菲利普·阿特(Philippe Arteau)在beplay体育能用吗博客文章昨天出版,强调了攻击向量的含义,该攻击向量于2018年4月首次发现。
另一位Gosecure研究人员Louis Dion-Marcil谈到了去年滥用缓存服务器def con,补充说,自2001年以来,ESI实施协议如何不更新。
他说:“ HTTP代理无法区分上游服务器提供的合法ESI标签和HTTP响应中注入的恶意标签。”
“换句话说,如果攻击者可以成功反映HTTP响应中的ESI标签,那么代理人将盲目解析并评估它们,并认为它们是从上游服务器提供的合法标签。”
边缘侧利用
Gosecure的最新发现表明,至少在一种情况下,如何使用恶意ESI标签来触发RCE。
Arteau说:“样式表属性将指向攻击者控制的远程服务器上托管的恶意XSLT资源。”
“当随附的标签具有远程样式表时,ESI-GATE会自动触发XSLT处理。
“默认情况下,Java中的XML解析器允许导入Java函数。这很容易导致任意代码执行。”
在另一种情况下,可以在Oracle Web缓存中进行标头注入,导致beplay体育能用吗服务器端请求伪造((SSRF)。
建议用户更新到最新版本的Oracle Web缓存,仅使用HTML编码以防止攻击者注入恶意ESI标签。beplay体育能用吗
Arteau说:“ ESI规范不能提供一种机制来验证后端已合法发布标签的机制。”
“因此,任何具有ESI Enable的缓存代理都将继续存在我们描述的潜在问题。”
Arteau和Dion-Marcil进入边缘方面的工作包括Portswigger的注射beplay官网可以赌2018年的十beplay体育能用吗大网络黑客技巧。
