研究人员演示了4种防DDoSHTTP请求走私攻击的新变种-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 研究人员演示了4种防DDoSHTTP请求走私攻击的新变种

研究人员演示了4种防DDoSHTTP请求走私攻击的新变种

小墨安全管家 2020-08-07 13:47 CC防护 89 ℃
DDoS防御

啥是新的?

一项新的研究确定了四种针对HTTP请求走私攻击的新变种,它们能够针对各种商用Web服务器和HTTP代理服务器。

研究人员演示了4种防DDoSHTTP请求走私攻击的新变种

HTTP请求走私(或HTTP异步)是一种用于干扰网站处理、从一具或多个用户接收的HTTP请求序列的方式的技术。

变式4 –一具简单的解决方案

在今天的黑帽安全会议上,SafeBreach的安全研究副总裁Amit Klein展示了这一发觉,他讲,这些攻击突出表明,web服务器和HTTP代理服务器容易受到HTTP请求走私攻击的阻碍,据记录首次发觉至今已有15年的历史。

研究人员演示了4种防DDoSHTTP请求走私攻击的新变种

最终,克莱因(Klein)发觉使用“ Content-Type:text / plain”标头字段脚以绕过CRS中指定的级别检查,并产生HTTP请求走私漏洞。

所有四个新变体的列表如下,最终添加包括一具由研究人员在实验中成功利用的旧变体。

为此,Klein公布了一具基于C++的库,经过严格遵守HTTP标头格式和请求行格式来确保所有传入的HTTP请求是彻底合规且明确的。能够从GitHub访咨询它。

变式2 –“等待”

例如,在处理包含两个Content-Length标头字段的HTTP请求时,发觉Abyss答应第二个标头为有效,而Squid使用第一具Content-Length标头,从而导致两个服务器以不同的方式解释请求并实现请求走私。

Klein指出:“ ModSecurity(与CRS结合使用)真的是一具开源项目,然而就通用性而言,Mod Security具有多个缺点。” “它不能提供针对HTTP请求走私的全面爱护,同时仅可用于Apache,IIS和nginx。”

呼吁规范来自代理服务器的出站HTTP请求,Klein强调了对开源、应用要求硬核的Web应用程序防火墙解决方案的需求,该解决方案可以处理HTTP请求走私攻击。

啥是HTTP请求走私?

当前端服务器(负载平衡器或代理)和后端服务器以不同的方式处理HTTP请求的边界时,通常会浮上与HTTP请求走私有关的漏洞,从而使不良行为者发送优先于下一具合法用户请求歧义请求。

变体1:“标头SP / CR垃圾邮件:……”

变体3 – HTTP / 1.2绕过类似于mod_security的谨防

攻击的第三种形式使用HTTP / 1.2来规避OWASP ModSecurity中定义的WAF谨防用于防止HTTP请求走私攻击的核心规则集(CRS)会生成触发该行为的恶意有效负载。

变式5 –“ CR标头”

不同步的请求可被利用来劫持凭据,向用户注入响应;甚至从受害者的请求中窃取数据,将信息泄露给攻击者操纵的服务器。

这项技术是由Watchfire的一组研究人员于2005 年首次证明的,这些研究人员包括Klein,Chaim Linhart,Ronen Heled和Steve Orrin。

Klein发觉,这也导致Squid与Abyss之间存在差异,后者会将HTTP请求的部分解释为第二个请求。

研究人员演示了4种防DDoSHTTP请求走私攻击的新变种

研究人员演示了4种防DDoSHTTP请求走私攻击的新变种

然而在过去的十几年中,在攻击面也随之举行了扩展,例如:将请求拼接成其他请求,获得对内部API的最大权限访咨询;污染Web缓存;破坏流行应用程序的登录页面。

在将发觉披露给Aprelium,Squid和OWASP CRS之后,咨询题已在Abyss X1 v2.14,Squid版本4.12和5.0.3和CRS v3.3.0中修复。

有哪些大概的谨防措施?

在Abyss收到长度小于指定的Content-Length值的主体的HTTP请求的事情下,它将等待30秒以完成该请求,但不大概忽略该请求的其余主体。

Klein公开的新变体涉及使用各种代理服务器组合,包括在Web服务器模式下的Aprelium的Abyss,Microsoft IIS,Apache和Tomcat,以及在HTTP代理模式下的Nginx,Squid,HAProxy,Caddy和Traefik。


DDoS防御

当前位置:主页 > CC防护 > 研究人员演示了4种防DDoSHTTP请求走私攻击的新变种

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119