如何通过反向代理执行HTTP标题走私攻击每日SWbeplay2018官网IG.

技术可用于绕过身份验证和妥协关键内部应用

内容交付网络或内容分发网络CDN与服务器和用户笔记本电脑

研究人员发现了一种新技术，可以通过反向代理进行HTTP标头走私攻击。

这方法- 由渗透测试仪开发罗宾角除了电信安全性的网络安全研究员，Simon Peters旁边，可以应用于规避网站认证检查。beplay体育能用吗

首先于2005年录制，http走私是一种用于分解前端服务器的恶意请求的技术。通常，使用这种方法的攻击依赖于以不同方式解释请求的服务器。

在服务器链中，解释中的冲突可以滥用并导致安全问题，该概念应该被开发人员承认，因为HTTP标题通常用于将认证请求传输到后端系统。

松散地说有两种类型的http请求走私。

一种形式涉及隐藏标题，以便检索内部连接，由Portswiggigger的James Kettle和Portswiggigger研究请求走私主题进行研究。beplay官网可以赌这种攻击是臭名昭着的复杂性，但它对几乎所有目标都有严重影响。

去年，Portswigbeplay官网可以赌gbeplay体育能用吗er网络安全研究员James Kettle向美国黑帽的与会者展示了HTTP请求如何可以剥削毒害网络缓存，窃取凭beplay体育能用吗据和更同步的系统。

第二种形式的HTTP请求走私涉及隐藏标题以欺骗身份验证，是Textkom Security Research的重点。

只要您了解目标系统，这种类型的攻击是相对“简单”的，但是它只对依赖基于标头身份验证的网站产生严重影响。beplay体育能用吗

在执行服务器审核时，Telekom Security的Verton记录了通过X509客户端证书进行的基于智能卡的身份验证方法，以及处理相互TLS（MTLS）流程和证书数据提取的前端反向代理。作为附加标题添加字段，因为请求传递给后端，然后通过传递的字段经过身份验证用户。

Verton指出，只有少数标头将攻击者与潜在的身份验证旁路尝试分开，尽管通常建议将标头保持不设置以防止滥用，但在某些情况下，当反向代理在发挥作用时可能会忽略这一点。

“取决于所使用的反向代理，后端软件甚至框架的组合，攻击者传递了HTTP标题将被归一化，可能会干扰所在位置的”过滤器“，”研究人员表示。

尽管Apache和Nginx文档说他们在其中删除了所有标头，但开发人员意识到，当请求通过Apache上的Proxypass传递时，以及通过少数其他模块传递请求时，这不会发生。

在某些情况下，通过反向代理通过下划线/划线组合可以欺骗HTTP标头名称，以及如何滥用各种框架处理标头名称的差异来绕过现有的身份验证机制。

“虽然nginx确实通过下划线剥离了标头proxy_pass.指令 - 除非‘unterscores_in_headers’功能已启用 - 包括Django和Flask的WSGI框架“假设它是剥离下划线标题的反向代理的作业”，“Verton解释说。

在某些情况下，标题client_verified可以使用此策略未知。在PHP和基于WSGI的框架的情况下，如果通过了带连字符的HTTP标头名称，它将被归一化，这是一个可以导致认证旁路的功能。

不是每个Apache-MTLS-AS-AS-AS-reverse-Proxy易受此问题的影响，但可能会滥用一些特定的标题和配置。

Verton在他的博客文章，注意某些情况可能导致严重的安全问题。

理论上，账户收购和认证旁路可能是可能的。攻击者也可以走私标题，包括X福音那X-Forwarded-Host，和X-Real-IP，弗顿说。

谈到每日SWbeplay2018官网IG.，Verton补充说，滥用这种行为并不难，因为它简单地“简单地交换了一些字符并在请求中添加一些标题”。

然而，开发人员补充说，在黑箱测试期间找不到这些类型的漏洞是不是很容易，因为“你不知道使用什么标题以及他们的名字是什么”。

Verton评论说：“这仍然是开发人员和Depop人应该知道的东西，因为只有这种方式才能防止这种类型的错误。”

一般而言，研究人员建议将认证标头设置为Ofet / Clear以root，不应在敏感的HTTP标头名称中使用下划线和连字符，并且应在身份验证块中考虑秘密，以减轻HTTP标头走私的潜在损坏。

如何通过反向代理执行HTTP标题窃取攻击