发布:2019年12月9日在13:53 UTC
更新:2020年9月22日,14:45 UTC
我们都看过它 - 会议演示文稿删除了一种精美的新技术,并发布了一个热门的新工具。然后,在接下来的几个月和几年中,环境变化,工具将保持不到,直到几乎没有用。我不会让这种情况发生HTTP请求走私者,今天我很高兴提供有关上周发布的重大更新的更多信息。这篇文章将描述关键更改。
HTTP请求走私者的主要创新之一是基于计时的扫描技术,它可以检测潜力HTTP请求走私漏洞有虚假负面的机会几乎为零。它总是有一些假阳性,但是总体假阳性速率大多是如此之低,以至于并不是一个问题。但是,由于我对走私要求的研究已公开发布,因此很大一部分脆弱的网站已经修补了他们的系统。beplay体育能用吗脆弱系统数量的减少已将工具的假阳性率提高到令人讨厌的水平。也就是说,较小的脆弱地点也意味着意外损害的潜力较小...
因此,我认为是时候发布一月份编码的功能了,以帮助进行研究,但由于其潜力造成广泛的意外损害,因此决定拒绝HTTP请求走私者的首次公开发布。
此功能是能够自动地尝试在请求走私攻击的阶段通常是非确定性的,偶尔有风险的“确认”阶段,而不是要求用户进行启动。截至此版本,如果您启用POC:选项然后,当HTTP请求走私者认为目标是脆弱的时,它将尝试确认阶段并报告标题为“HTTP请求走私确认如果有效。如果您在大规模扫描,没有时间花时间调查可能是假阳性的发现,请专注于确认的发现。与以往一样,请记住确认技术是不可靠的,并且容易在高流量网站上进行虚假负面问题 - 因此未经证实的发现仍然很有趣。beplay体育能用吗
在过去的几个月中,在大量电子邮件中要求我寻求特定系统的帮助(请不要再),我收到了一些真正有见地的想法和建议。这成为许多新功能的基础。
正如我之前提到的,定时技术的真正优势是缺乏虚假负面因素。然而,精神错乱发现了一个例外 - 未发现的未拨打的Apache流量服务器(ATS)。事实证明,该服务器在内部不一致,它应该优先考虑内容长度还是块编码,这使得不可能应用任何明智的逻辑,以使其实际上是否脆弱。通过这种行为检测服务器的唯一方法是简单地尝试概念攻击的证明,看看它是否有效。因此,我添加了“直接跳动到POC”选项,可以做到这一点。请注意,这不是默认策略的原因 - 它根本不可靠,因此您可以期望看到很多误报和负面因素。仁慈的是,经过大量扫描,ATS似乎在躲避基于时序的检测策略的能力方面是独一无二的。
Erlend还发现了另一个改善HTTP请求走私者的报道的机会 - stackoverflow包含一些报告服务器的“解次”小型请求,可能会破坏可行的DeSync攻击。为了解决这个问题,我添加了“所有内容”选项,该选项将所有探测请求都带到40kb以上。
émilefugulin当时,当Gnunicorn的源代码戳破了,当他发现新的漏洞时,他想修补报告的请求走私漏洞,这要归功于以下行分析转移编码的标题:
块= value.lower()==“块”
不幸的是,该规范支持多个转移编码,并由逗号隔开:
传输编码标头字段列出了与传输编码顺序相对应的传输编码名称 -RFC 7230#3.3.1
HTTP请求走私者已经利用以下有效载荷来利用这一点:
转移编码:牛,大块
转移编码:大块,牛
但是Émile注意到一些前端正在过滤未识别的编码,并建议使用完全合法的(PER RFC 2616)和经常使用编码“身份”的替代方法:
转移编码:身份,块
更新: 查看Émile的深入文章关于全部细节的发现。
此更新应有助于保持工具暂时顺利进行。与往常一样,如果您对新的DESYNC方法有任何想法,我强烈建议您自己尝试或发送给我一封电邮。