首页 科技内容详情
欧<ou>博手机版下‘xia’载(www.aLLbetgame.us):剖析针对 HTTP/2 协「xie」议的差异步「bu」攻击‘ji’(上)

博手机版下‘xia’载(www.aLLbetgame.us):剖析针对 HTTP/2 协「xie」议的差异步「bu」攻击‘ji’(上)

分类:科技

网址:

反馈错误: 联络客服

点击直达

新2网址

www.22223388.com)实时更新发布最新最快的新2代理线路、新2会员线路、新2备用登录网址、新2手机版登录网址、新2皇冠登录网址。

,


HTTP/2 很容易被误以为是一种传输层协议,HTTP/2 (原名HTTP/2.0)即超文本传输协议 2.0,是下一代HTTP协议。是由互联网工程义务组(IETF)的Hypertext Transfer Protocol Bis (httpbis)事情小组举行开发。是自1999年http1.1宣布后的首个更新。HTTP 2.0在2013年8月举行首次互助共事性测试。在开放互联网上HTTP 2.0将只用于https://网址,而 http://网址将继续使用HTTP/1,目的是在开放互联网上增添使用加密手艺,以提供强有力的珍爱去停止自动攻击。DANE RFC6698允许域名治理员不通过第三方CA自行刊行证书。在本文中,我将先容由实现破绽和 RFC 破绽引起的多种新的 HTTP/2独占的威胁。

首先,我将展示这些破绽是若何启用HTTP/2排他的差异步攻击的,案例研究的目的是一些着名网站,这些网站的服务器包罗亚马逊的应用程序负载平衡器、WAF、CDN和大型科技公司定制的客栈。这些破绽通过挟制客户端、木马化缓存、另有窃取凭证来提议攻击。

之后,我将先容新的手艺和工具来破解差异步驱动的请求隧道,一种普遍但被忽视的请求走私(request smuggling)变体,通常被误以为是攻击误报。最后,我将分享HTTP/2引入的多个新的行使原语,展现新的服务器层和应用层攻击外面。HTTP请求走私在 2005 年第一次被提出, 是一项用于滋扰 HTTP 请求的手艺,网站会处置来自用户的多个 HTTP 请求,使用 request smuggling 可以滋扰其他用户的请求。 请求 smuggling 破绽在实践场景中经常发生,允许攻击者绕过控制,获得未授权的数据,而且直接攻陷应用的其他用户。

HTTP / 2攻击

使用HTTP/2的第一步是学习协议基础。

我通过从标头最先编写 HTTP/2 客户端来最先这项研究,得出的结论是,对于本文中形貌的攻击,我们可以忽略许多低级特征的细节,如帧和流。

虽然HTTP/2很庞大,但它被设计用来传输与HTTP/1.1相同的信息,这是两个协议中示意的等效请求。

HTTP / 1.1:


HTTP / 2:


假设你已经熟悉了HTTP/1,那么你只需要明白三个新看法。

伪造的标头文件

伪造的标头文件(pseudo header),通常有TCP伪首部和UDP伪首部。在UDP伪首部中,包罗32位源IP地址,32位目的IP地址,8位协议,16位UDP长度。通过伪首部的校验,UDP可以确定该数据报是不是发给本机的,通过首部协议字段,UDP可以确认有没有误传。

在HTTP/1中,请求的第一行包罗请求方式和路径。HTTP/2用一系列伪造标头文件替换请求行。这五个伪造标头很容易识别,由于它们是用冒号在名字的开标头示意的:


二进制协议

HTTP/1是一个基于文本的协议,因此使用字符串操作剖析请求。例如,服务器需要查找冒号以知道题目名何时竣事。这种方式中潜在的模糊性使得差异步攻击成为可能。HTTP/2是一个像TCP一样的二进制协议,以是剖析是基于预界说的偏移量,不容易泛起模糊性。本文使用人类可读的抽象而不是现实的字节来示意HTTP/2请求。例如,在网络上,伪造标头名称现实上被映射到单个字节,它们现实上并不包罗冒号。

新闻长度

在HTTP/1中,每个新闻体的长度通过Content-Length或Transfer-Encoding标头示意。

在HTTP/2中,这些标头是冗余的,由于每个新闻正文都由具有内置长度字段的数据帧组成。这意味着新闻长度的模糊性很小,可能会让你想知道若何使用HTTP/2举行差异步攻击。这样解决设施就成了HTTP/2降级。

HTTP / 2 差异步攻击

通过 HTTP/2 降级请求走私

HTTP/2降级是指前端服务器向客户端发送HTTP/2,但在将请求转发到后端服务器之前,将请求重写为HTTP/1.1。这种协议转换支持一系列攻击,包罗HTTP请求走私:


典型的请求走私破绽主要是由于前端和后端对于是否从其内容长度 (CL) 或传输编码 (TE) 标头导出请求的长度存在分歧。凭证发生这种差异步的方式,破绽被归类为 CL.TE 或 TE.CL。

使用HTTP/2的前端险些总是使用HTTP/2的内置新闻长度。然而,吸收降级请求的后端不能接见此数据,必须使用CL或TE标头。这导致了两种主要类型的破绽:H2.TE和H2.CL。

案例研究

现在我们已经掌握了足够多的理论,可以最先探索一些真正的破绽了。为了找到这些问题,我使用基于超时的H1差异步检测战略的一个改编版本,在HTTP Request Smuggler中实现了自动检测。自动检测后,我用它来扫描我的带有破绽赏金设计的网站管道。除非尚有说明,否则所有引用的破绽均已被修复。

接下来,我将假设你已经熟悉了HTTP请求走私,若是你对HTTP请求走私还不是很领会,可以点开此视频旁观详细先容。

Netflix 上的 H2.CL 差异步

由于HTTP/2的数据帧长度字段,Content-Length标头是不需要的。然而,HTTP/2 RFC声明该标头是允许的,只要它是准确的。对于第一个案例研究,我们将目的锁定为www.netflix.com,它使用了一个无需验证内容长度就执行HTTP降级的前端。这启用了H2.CL差异步。

为了行使它,我发出了以下HTTP/2请求:


在前端将此请求降级为HTTP/1.1后,它到达后端,看起来像这样:


由于 Content-Length 不准确,后端提前住手处置请求,橙色数据被视为另一个请求的最先。这使我能够为下一个请求添加随便前缀,而不管它是谁发送的。

我全心设计了橙色前缀以触发响应,将受害者的请求重定向到我的服务器 02.rs:


通过重定向 JavaScript 包罗,我可以执行恶意 JavaScript 来损坏 Netflix 帐户,并窃取密码和信用卡号。通过循环运行这种攻击,我可以在没有用户交互的情形下逐渐攻击网站的所有活跃用户,这种严重水平是请求走私的典型显示。

Netflix通过Zuul找到了这个破绽,获得了最高赏金2万美元。现在这个破绽已经被修复,并被命名为CVE-2021-21295。

欧博手机版下载

欢迎进入欧博手机版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

应用程序负载平衡器上的 H2.TE 差异步

接下来,让我们看看一个简朴的 H2.TE 差异步。 RFC 状态为“任何包罗特定于毗邻的标头字段的新闻都必须被视为花样错误。”

一个特定于毗邻的标头字段是Transfer-Encoding。Amazon Web Services (AWS)的应用程序负载平衡器未能遵守此行,并接受包罗Transfer-Encoding的请求。这意味着我可以通过 H2.TE 差异步来行使险些所有使用它的网站。负载平衡( LoadBalancer )可以通过弹性负载平衡从公网接见到事情负载,与弹性IP方式相比提供了高可靠的保障,一样平常用于系统中需要露出到公网的服务。而传输编码在 HTTP 的报文标头中,使用 Transfer-Encoding 首部举行符号,它就是指明当前使用的传输编码。Transfer-Encoding 会改变报文的花样和传输的方式,使用它不只不会削减内容传输的巨细,甚至另有可能会使传输变大,看似是一个不环保的做法,然则实在是为领会决一些特殊问题。

其中一个易受攻击的网站是Verizon的执法入口网站,位于id.b2b.oath.com。我使用以下请求行使了它:


前端将此请求降级为:


这个看起来很熟悉,H2.TE的开发与CL.TE异常相似。降级后,“transfer-encoding: chunked”标头文件优先于前端插入的内容长度。这使得后端提前住手剖析请求正文,并使我们能够将随便用户重定向到我在psres.net的网站。

当我讲述这个破绽时,触发器(trigger)要求我提供进一步的证据,证实我可能会造成危险,以是我最先重定向实时用户,很快发现我在OAuth登录流程中捕捉到一些人,通通过 Referer 标头泄露了他们的隐秘代码:


Verizon为此奖励了7000美元的赏金。

我在accounts.athena.aol.com 上遇到了一个具有差异行使路径的类似破绽,支持种种新闻网站的 CMS,包罗赫芬顿邮报和瘾科技(Engadget)。行使该破绽,我可以再次发出 HTTP/2 请求,该请求在降级后,掷中后端并注入将受害者重定向到我的域的前缀:


另外触发器(trigger)想要更多证据,以是我借此时机重定向了一些实时用户。然而,这一次,重定向用户导致向我的服务器发出请求,该请求现实上是“我可以向你发送我的凭证吗?”:


我慌忙设置了我的服务器以授予他们权限:


并获得了一连串的赞扬:


这展示了我稍后需要探索的一些有趣的浏览器行为,而且还从 Verizon 那里获得了另外 1万美元。

我还直接向Amazon讲述了这个root破绽,Amazon现在已经修复了应用程序负载平衡器,这样他们的客户的网站就不会再被这个破绽了影响了。每个使用Imperva的Cloud WAF的网站也很容易受到此攻击,这时web应用防火墙的耐久防护缺陷,使网站更容易被黑客攻击。

H2.TE通过请求标头注入

由于HTTP/1是明文协议,以是不能能在某些地方放置某些剖析要害字符。例如,你不能在标头文件值中放入\r\n序列,这样你就只会终止标头文件。

HTTP/2的二进制设计,连系它压缩标头的方式,使你可以把随便字符放在随便位置。服务器期望通太过外的验证步骤重新施加HTTP/1花样的限制:

任何包罗标头字段值中不允许的字符的请求都必须被视为花样错误

固然,许多服务器都市跳过这个验证步骤。

一个易受攻击的实现是 Netlify CDN,它在基于它的每个网站上启用了 H2.TE 差异步攻击,包罗 Firefox 的 start.mozilla.org 起始页面。我制作了一个在标头值中使用 '\r\n' 的破绽:


在降级历程中,\r\n触发了一个请求标头注入破绽,引入了一个名为Transfer-Encoding: chunked分外标头。


这触发了 H2.TE 差异步,其前缀旨在让受害者从我自己的 Netlify 域吸收恶意内容。由于 Netlify 的缓存设置,有害响应将被保留并连续提供应任何其他试图接见相同 URL 的人。现实上,我可以完全控制 Netlify CDN 上每个网站的每个页面。

H2.X 通过请求拆分

Atlassian 的 Jira 看起来也有类似的破绽,我确立了一个简朴的看法验证,旨在触发两个差其余响应,一个正常的响应和 robots.txt 文件。现实效果完全是另一回事,详细视频请点此旁观。

服务器最先向我发送显著针对其他Jira用户的响应,包罗大量敏感信息和PII。

这是由于我在制作有用载荷时做了一个小优化,我已经决议,与其使用\r\n来走私一个Transfer-Encoding标头文件,不如使用double-\r\n来终止第一个请求,让我直接在标头文件中包罗恶意前缀:


这种方式阻止了对分块编码、新闻正文和 POST 方式的需要。然则,它未能说明 HTTP 降级历程中的要害步骤,前端必须以 \r\n\r\n 序列终止标头。这导致它终止前缀,将其酿成一个完整的自力请求:


后端看到的不是通常的1.5个请求,而是2个请求。我收到了第一个响应,但下一个用户收到了对我走私请求的响应。然后,他们应该收到的响应被发送给下一个用户,以此类推。现实上,前端最先无限期地为每个用户提供对前一个用户请求的响应。


更糟糕的是,其中一些包罗了Set-Cookie标头文件,它会连续地将用户登录到其他用户的帐户中。部署修复程序后,Atlassian 选择全局过时所有用户会话。

@defparam 在使用 HTTP 请求走私的现实攻击中提到了这种潜在影响,但我以为这种普遍性被低估了。出于显而易见的缘故原由,我没有在许多网站上试验过,但据我所知,这种行使路径险些总是存在的。因此,若是你发现请求走私破绽而且供应商在没有更多证据的情形下不会认真看待它,那么走私两个请求应该可以让他们获得正在寻找的证据。

使 Jira 易受攻击的前端是 PulseSecure Virtual Traffic Manager。 为此,Atlassian 获得了 15000 美元赏金。

除了 Netlify 和 PulseSecure Virtual Traffic Manager 之外,该手艺还适用于其他一些服务器。我们与盘算机应急响应小组 (CERT) 互助,发现 F5 的 Big-IP 负载平衡器也容易受到攻击,要领会更多细节,请参阅咨询K97045220,它也适用于Imperva Cloud WAF。

本文翻译自:https://portswigger.net/research/http2
  • 皇冠会员线路(www.22223388.com) @回复Ta

    2021-09-13 00:01:07 

    广东宏远要支援富邦男篮,已经不是什么隐秘了。而朱芳雨也在接受采访的时刻公然回应了此事,他示意CBA公司一直和宏远有保持相同,现在富邦男篮还没有最终确定要征战CBA联赛,但朱芳雨也示意,自己会只管和所有球员都完成续约。朱芳雨这样亮相,实在也是侧面示意CBA公司在向宏远要人,而此前朱芳雨设计将王薪凯送走。只不外CBA新政出来,下赛季将会打全华班,这样一来王薪凯就没有走的需要了,以是朱芳雨才下定刻意,迅速和王薪凯完成了续约。挚爱!

  • 皇冠登三出租(www.huangguan.us) @回复Ta

    2021-09-24 00:01:00 

    usdt官网接口www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

    好只一个字,我只说一次

发布评论