技术被称为“H2C走私”利用HTTP / 1.1升级来绕过代理访问控制
研究人员展示了传统的HTTP请求走私的替代方案攻击绕过代理控件和访问私有端点的方法。
在2005年首次出现在Web安全场景中,HTbeplay体育能用吗TP请求走私已经扩展到包括攻击的变体,例如Desynchronized消息处理以及两者的滥用反向代理和Proxy-Proxy设置。
升级弱势群体http / 1.1到HTTP / 2或HTTP / 3的连接可以减轻HTTP请求走私的风险。然而,主教福克斯铅研究员Jake Miller已经解释说,升级方法也可以滥用。
在博客帖子中星期二,米勒表示,新方法称为“H2C走私”,影响HTTP / 2在ClearText(H2C)连接上。
根据研究人员,H2C走私可以绕过反向代理访问控制并将“不受限制的HTTP流量直接送到后端服务器”。
有关的黑色帽子2020:新的HTTP请求走私变体征收现代Web服务器beplay体育能用吗
HTTP / 2使用可以通过TLS(TLS-ALPN)协商,并通过字符串H2标识。但是,当HTTP / 1.1经历升级到HTTP / 2时,还可以在升级标题上由Cleartext连接的升级标题启动,由称为“H2C”的字符串标识。
这种H2C走私方法允许攻击者通过通过TLS传输HTTP / 1.1升级请求来绕过代理控制,该请求直接转到后端服务器(通过TLS制作的H2C升级违反协议规格)。
TCP隧道
Miller配置了一个NGINX服务器,在端口443上具有TLS终端,在/端点上具有WebSocke的类似的Proxy_pass功能,以支持H2C升beplay体育能用吗级的后端服务器。访问控制已设置为阻止所有请求到/标志端点。
对于后端,研究人员创建了一个H2C支持的Golang服务器。
使用自定义客户端 -H2CSMuggler.- 可以通过TLS而不是升级标题启动升级请求,并发送到NGINX反向代理。
“代理将升级和连接标题转发到后端,其响应”101交换协议“并准备接收HTTP2通信,”米勒解释说。
“在从后端接收到101响应后,代理”升级“连接到非托管TCP隧道。”
H2CSmggeLler客户端可以使用HTTP / 2多路复用来向受限制/标志发送进一步的请求。代理在此阶段无法管理TCP隧道通信,因此请求将在没有任何障碍的情况下将请求发送到后端服务器,从而导致标志的响应。
然后,研究人员能够访问私有端点 - 但值得注意的是,H2C走私不允许HTTP Desynchronization,也称为套接字中毒攻击。
触发点
需要两个要求来触发这种攻击形式 - 错误配置和支持H2C升级的后端。
米勒发现,由HAProxy,Traefik和Nuster设置的默认配置,例如,默认转发所需的H2C标题 - 因此可能易于攻击。
还可以通过一些清晰的通道和多个代理层进行攻击。唯一的要求是目标代理不支持H2C升级请求,并将简单地转发它 - 因此,研究人员表示此攻击也可能在非加密渠道上取得成功“。
Bishop Fox提供了工具和演示对于GitHub上的攻击技术。
“请求走私和其他代理旁路漏洞突出了影响现代Web应用程序架构的不断增长的问题:对安全保证的边缘传输访问控制的过度增长,”米勒说。beplay体育能用吗
“在许多方面,通过请求走私或请求伪造攻击的任意用户控制请求已成为现代RPC驱动的微服务架构的”劫持指示指针“。”
米勒告诉米勒讲述了这项新技术的潜在影响每日SWbeplay2018官网IG.:“对于依赖代理执行访问控制的组织,这些控件的旁路可能会导致重大的业务影响。
“绕过这些控件可能导致访问内部管理端点,任意请求路由,IP欺骗以及各种其他特权升级机会。
“相比之下,对于直接向应用程序路由的未过滤请求的组织没有比边缘处理的请求更多的能力,这将不再存在业务风险。这是语境。“
