错误在中间和后端服务器之间利用不一致
mitmproxy,A.开源,Interactive HTTPS代理服务已修补危险错误,可能允许攻击者逐步对反馈服务器进行级联HTTP请求走私攻击。
HTTP请求走私攻击利用中介和后端服务器处理请求绕过安全控件的方式之间的不一致,增益未经授权访问敏感数据,或危及其他应用程序用户。
难以捉摸的虫子
报告错误的安全研究员张泽宇发现,攻击者可以通过Mitmproxy作为另一个请求/响应的HTTP消息正文的一部分来窃取请求/响应。
“虽然更明显的攻击向量(例如,双重内容长度标题,使用内容长度超过转移编码)现在是罕见的,与标准的更微妙的偏差留下了一定的设置同样容易受到要求走私,“他告诉每日SWbeplay2018官网IG.。
在MITMPROXY的情况下,在标题名称中解析空格的问题导致MITMPROY和可能对HTTP标头具有不同解释的下游服务器。
“消除这种类型的漏洞是非常棘手的,因为您需要不同的HTTP实现(代理和目标服务器),以达成HTTP消息的共同解释,”Mitmproxy的维护者,介绍的Maximilian Hils告诉每日SWbeplay2018官网IG.。
或者,您可以使代理拒绝可能畸形的消息,但这将有缺点对野外的客户施加兼容性问题。
“这不是一个缓冲区溢出,它具有明显的修复。这里有很多细微差别来确保中介和服务器同意,“他说。
http / 2不受影响
该错误仅对Mitmproxy背后的HTTP / 1服务工作,该服务目前占用了非常少量的Web服务器。beplay体育能用吗
http / 2,更常用的协议,不依赖于使用内容长度和转移编码标题以确定请求正文结束的位置。
相反,每个数据帧中包括内置长度字段,并且当代理使用HTTP / 2与后端通信时,每个消息的长度都很模糊。因此,对HTTP / 2服务来说,这种特殊的请求走私错误将无效。
http / 1遵循的服务RFC7230具有空格的规范和拒绝标题也将免疫突破草原中发现的请求走私虫子。如果目标Web应用程序在其他方式不易受攻击,则安全性错误也会对攻击者无用。beplay体育能用吗
“从一个实际的角度来看,我认为影响绝大多数用户的影响是不存在的,”HILS说。“需要满足很多不足的前提条件。我会说相当多的星星需要对齐这一点来对野外的影响有效。“
边缘案例
但Zeyu警告说,许多后端服务器仍然无法支持HTTP / 2,包括肌电群,其中许多Python基于应用的应用程序。根据Zeyu的说法,在许多情况下,支持HTTP / 2的服务不配置为在前端代理和后端服务器之间使用它。
“这意味着仍然存在许多Web代理和服务器配置,这些网格代理和服务器配置在客户端和代理beplay体育能用吗之间的HTTP / 1.x之间说出HTTP / 2,但是在代理和后端之间留下HTTP请求走私攻击的空间,”他说。
无论关于其严重性的争论,漏洞已在Mitmproxy的8.0版中修补。
你可能也会喜欢Apple Safari Empowers开发人员通过WebKit CSP增强功能缓解Webeplay体育能用吗b缺陷
