白皮书系统地检查了攻击,同时展示了新缺陷的“洗衣员”
研究人员发布了一种用于寻找新型HTTP请求走私技术的新型模糊工具。
这工具,被称为'T-Reqs',由东北大学,波士顿和Akamai的团队建造。
在白皮书(PDF)研究人员讨论他们如何发现丰富的新人漏洞使用模糊工具,他们所说的是错误的赏金猎人和研究人员都可以使用。
http历史记录
http请求走私从2005年首次出现的,干扰了网站如何处理从用户收到的HTTP请求的序列。beplay体育能用吗
负载均衡器(AKA反向代理)通常连续地转发多个HTTP请求,以相同的后端服务器网络联系。
如果前端服务器和后端服务器之间存在差异,则可以允许攻击者通过代理窃取隐藏的请求。
这可能会产生深远的后果,导致账户劫持和缓存中毒等情景。
以前的研究进入了攻击目标内容长度和转移编码标题。
阅读更多黑色帽子2020:新的HTTP请求走私变体征收现代Web服务器beplay体育能用吗
这种新的研究改为HTTP请求走私(HRS)作为一个系统交互问题,包括在流量路径上的至少两个HTTP处理器。
纸质读取:“这些处理器可能不一定是单独的错误;但是,当使用时,他们不同意给定的HTTP请求的解析或语义,这导致漏洞。
“以前的工作,HRS的这一关键方面尚未探讨。接下来,上一页袭击专注于两个上述HTTP标头的恶意操纵。
“是否剩余的HTTP标头或其余的HTTP请求,可以被篡改,以引起类似的处理差异仍然是未知的区域。”
成功的工具
T-REQS是“两个请求”的速记,是一种基于语法的HTTP模糊,可以生成HTTP请求,并将突变应用于它们以触发潜在的服务器处理QUIRK。
它练习具有相同突变请求的两个目标服务器,并比较响应识别导致走私攻击的差异。
谈到每日SWbeplay2018官网IG.,Akamai的Kaan Onarlioglu说:“T-reqs是一种模糊,在实验设置中练习服务器对。
“这是一个发现新颖的走私漏洞的工具。这对服务器开发人员特别有用,实际上我们的论文中提到的几个供应商现在正在使用它进行内部测试。
“T-reqs不设计用于测试实时Web应用程序;beplay体育能用吗这不是一个渗透测试重复先前已知的走私有效载荷的工具。Burp Suite的HTTP请求走私者扩展是一个更好的适合。
“我们设想社区将增强和使用T-reqs找到新的漏洞,然后将这些有效载荷与其测试工具和流程集成。”
Onarlioglu表示,他们决定探索主题,因为HTTP规范非常复杂,所以球队认为有一个“夸张的服务器技术与他们的怪癖”,“必须对偷运请求有机会”。
研究人员说:“我们的研究测试了这一假设。我们系统地将HTTP请求的所有部分与10个流行的代理/服务器技术的成对组合一起探索。我们发现了全新漏洞的洗衣清单!“
白皮书包含有关漏洞的更多信息以及更多技术细节。
系统为中心
Onarlioglu告诉每日SWbeplay2018官网IG.:“关于申请走私的迷人的事情是它是一个系统问题。即使我们可以提出魔法开发过程并开始起动出完美的服务器,他们仍然会在面对请求走私时壮观地失败。
“安全组件不一定制造安全系统;安全是整个系统的紧急财产。
“研究人员传统上没有从这个镜头查看安全性,但这是随着最近推广的攻击而变化,如走私,缓存中毒和缓存欺骗。
“我的团队强烈认为,以系统为中心的视图是挫败下一代Web攻击的关键,因此我们正在积极研究这个域名。”beplay体育能用吗
