17 Янв, 2023

Контрабанда HTTP-запросов

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Аббревиатура для контрабанды HTTP-запросов - “HTTP Контрабанда” или “HTTPRS”.

Контрабанда HTTP-запросов это метод, используемый для использования уязвимости в веб-серверах или прокси-серверах, которая возникает в результате того, как они анализируют и обрабатывают HTTP-запросы. Уязвимость может быть использована для того, чтобы заставить сервер неверно интерпретировать запрос и выполнять непреднамеренные действия, такие как обход средств контроля безопасности или доступ к ограниченным ресурсам. Этот метод также может быть использован для запуска различных атак, таких как межсайтовый скриптинг (XSS) и отказ в обслуживании (DoS). Это может позволить злоумышленникам отправить второй, незаконный запрос, который не обнаруживается или блокируется сервером, что позволяет им обойти средства контроля безопасности или совершать вредоносные действия, такие как внедрение вредоносного ПО или кража конфиденциальных данных. Важно поддерживать программное обеспечение в актуальном состоянии и правильно настраивать веб-серверы, чтобы предотвратить атаки с использованием контрабанды HTTP-запросов.

Контрабанда HTTP - это уязвимость, возникающая, когда несколько HTTP-запросов с одного и того же целевого хоста и порта отправляются на сервер и обрабатываются по-разному, что приводит к непреднамеренному поведению.

Как правило, для выявления уязвимостей, связанных с контрабандой HTTP-запросов, с помощью Burp Suite можно выполнить следующие действия:

1. Отправьте обычный запрос на целевой сервер с помощью прокси-сервера Burp Suite.

2. Измените запрос, чтобы включить несколько запросов с одним и тем же хостом и портом, используя заголовок Content-Length или Transfer-Encoding для переправки дополнительного запроса.

3. Наблюдайте за ответом сервера и ищите любое неожиданное поведение, такое как обработка дополнительных запросов или возврат неправильных ответов.

4. Подтвердите уязвимость, повторив процесс с различными вариантами запроса.

Вот пример того, как вы можете использовать Burp Suite для выявления уязвимости, связанной с контрабандой содержимого:

1. Сначала отправьте запрос целевому приложению с помощью прокси-инструмента Burp Suite.

2. После захвата запроса вы можете использовать инструмент Repeater, чтобы изменить запрос и попробовать различные полезные нагрузки.

3. Для проверки на контрабанду длины содержимого вы можете изменить заголовок длины содержимого в запросе, чтобы он был больше или меньше фактического размера тела запроса.

4. Если целевое приложение уязвимо для контрабанды содержимого, вы можете наблюдать различное поведение в ответе, например, неожиданные сообщения об ошибках, неполные ответы или медленное время отклика.

5. Если целевое приложение не является уязвимым, вы можете заметить, что ответ не изменился.

Вот пример того, как вы можете использовать Burp Suite для выявления уязвимости, связанной с контрабандой кодирования передачи:

1. Сначала отправьте запрос целевому приложению с помощью прокси-инструмента Burp Suite.

2. После захвата запроса вы можете использовать инструмент Repeater, чтобы изменить запрос и попробовать различные полезные нагрузки.

3. Чтобы проверить контрабанду кодирования передачи, вы можете добавить к запросу следующий заголовок:

				
					Transfer-Encoding: chunked
				
			

4. Если целевое приложение уязвимо для Передача-Кодирование В противном случае вы можете наблюдать различное поведение в ответе, например неожиданные сообщения об ошибках, неполные ответы или медленное время отклика.

5. Если целевое приложение не является уязвимым, вы можете заметить, что ответ не изменился.

Эти шаги являются лишь одним из способов выявления уязвимостей, связанных с контрабандой HTTP-запросов, с использованием Burp Suite, и что точный используемый метод может варьироваться в зависимости от конкретной реализации и конфигурации сервера.

Распространенные примеры использования уязвимостей, связанных с контрабандой HTTP-запросов

1. Контрабанда содержимого и длины: Этот тип контрабанды возникает, когда сервер полагается на заголовок Content-Length для определения длины тела запроса, но значение заголовка манипулируется для контрабанды дополнительного запроса. Например, злоумышленник может отправить запрос со значением заголовка Content-Length, которое больше фактического тела запроса, и сервер может обработать дополнительный запрос, который был добавлен к исходному запросу.

				
					GET /example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,appliGET /example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Content-Length: 20

GET /another-example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
cation/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
				
			

В этом примере первый запрос включает заголовок Content-Length со значением 20. Второй запрос был добавлен после первого запроса, разделенный пустой строкой. Этот запрос относится к URL-адресу http://www.example.com/another-example. Два запроса имеют разные заголовки и значения.

Это пример контрабандного запроса с использованием Длина содержимого контрабанда, поскольку сервер может неверно интерпретировать длину первого запроса и обрабатывать второй запрос как часть первого, что приводит к неожиданному поведению и потенциально уязвимым местам, которые можно использовать, включая контрабанду HTTP-запросов.

2. Передача-Кодирование Контрабанды: Этот тип контрабанды возникает, когда сервер полагается на заголовок Transfer-Encoding для определения кодировки тела запроса, но значение заголовка манипулируется для контрабанды дополнительного запроса. Например, злоумышленник может отправить запрос с заголовком Transfer-Encoding: chunked и заголовком Content-Length, и сервер может обработать дополнительный запрос, который был добавлен к исходному запросу.

				
					GET /example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Transfer-Encoding: chunked

GET /another-example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

				
			

В этом примере первый запрос включает в себя Передача-Кодирование заголовок со значением разорванный на куски. Второй запрос был добавлен после первого запроса, разделенный пустой строкой. Этот запрос относится к URL-адресу http://www.example.com/another-example. Два запроса имеют разные заголовки и значения.

Это пример контрабандного запроса с использованием Передача-Кодирование контрабанда, поскольку сервер может неверно интерпретировать кодировку первого запроса и обрабатывать второй запрос как часть первого, что приводит к неожиданному поведению и потенциально уязвимым местам, которые можно использовать, включая контрабанду HTTP-запросов.

В Burp Suite вы можете изменить этот запрос и добавить, удалить или изменить заголовки, а также изменить метод запроса, чтобы увидеть, как сервер отвечает на различные запросы. Это может быть полезно для тестирования и выявления уязвимостей, включая контрабанду HTTP.

Эти два примера являются общими, поскольку многие веб-серверы полагаются на Длина содержимого и Передача-Кодирование заголовки для определения структуры HTTP-запросов, и этими заголовками часто манипулируют при атаках с контрабандой HTTP-запросов. Важно всегда проверять входные данные и следовать рекомендациям по безопасности, чтобы предотвратить уязвимости в ваших приложениях.

Методы повышения привилегий, связанные с уязвимостями, связанными с контрабандой HTTP-запросов

Список методов повышения привилегий, которые могут быть использованы при уязвимости, связанной с контрабандой HTTP-запросов:

1. Олицетворение: изменение заголовков запроса для олицетворения пользователя с более высокими привилегиями.

2. Контрабанда ресурсов: контрабанда запроса на другой ресурс с более высокими привилегиями.

3. Обход доступа: обход контроля доступа для доступа к конфиденциальной информации или выполнения привилегированных действий.

4. Несанкционированные действия: ввод дополнительных запросов для выполнения несанкционированных действий.

5. Изменение параметров: изменение параметров запроса с целью изменения обработки внутренним сервером.

6. Доступ к конфиденциальным ресурсам: переправка запросов на конфиденциальные ресурсы, которые обычно защищены средствами контроля доступа.

7. Использование логических ошибок: использование логических ошибок в приложении для получения более высоких привилегий.

8. Внедрение кода: внедрение вредоносного кода в запрос на выполнение произвольного кода на внутреннем сервере.

9. Обход меры безопасности: обход ограничения скорости или других мер безопасности.

10. Доступ к конфиденциальным данным: контрабанда запросов для обхода мер безопасности и получения доступа к конфиденциальным данным.

Общая методология и контрольный список уязвимостей для контрабанды HTTP-запросов

Общая методология тестирования уязвимостей, связанных с контрабандой HTTP-запросов, может быть кратко изложена в следующих шагах:

1. Исследования и открытия: исследование технологического стека и архитектуры целевой системы, а также определение потенциальных областей для контрабанды запросов.

2. Анализ конфигурации: проанализируйте конфигурацию целевой системы, включая настройки HTTP и веб-сервера, для выявления потенциальных недостатков.

3. Анализ запросов: Анализируйте запросы, отправляемые в целевую систему, в поисках потенциальных векторов для контрабанды запросов.

4. Проверка уязвимости: проверьте наличие контрабанды запросов путем внедрения вредоносных полезных нагрузок в запросы и наблюдения за ответом целевой системы.

5. Эксплуатация: попытка использовать уязвимость, связанную с контрабандой запросов, для повышения привилегий, обхода мер безопасности или доступа к конфиденциальным данным.

6. Отчетность: Документируйте выводы и предоставьте заинтересованным сторонам всеобъемлющий отчет, включая рекомендации по исправлению положения.

Контрольный список для тестирования уязвимостей, связанных с контрабандой HTTP-запросов, будет включать следующие пункты:

  • Проверьте, поддерживает ли целевая система конвейерную обработку HTTP.

  • Проверьте наличие обратных прокси-серверов и балансировщиков нагрузки.

  • Проверьте, обрабатывается ли несколько запросов в одном соединении.

  • Проверьте, не обрабатывается ли несколько заголовков длиной с содержимое.

  • Проверьте, не обрабатывается ли несколько заголовков с кодировкой передачи.

  • Проверьте, не обрабатываются ли недействительные запросы.

  • Проверьте, не обрабатываются ли перекрывающиеся запросы.

  • Проверьте, не обрабатываются ли вредоносные полезные нагрузки в запросах.

  • Проверьте, не уязвима ли целевая система для атак с использованием контрабанды HTTP-запросов.

  • Попытка использовать уязвимость для повышения привилегий или доступа к конфиденциальным данным.

Набор инструментов для использования уязвимостей, связанных с контрабандой HTTP-запросов

Ручные Инструменты:

1. Burp Suite: а популярный инструмент тестирования безопасности веб-приложений, который можно использовать для ручного тестирования и использования уязвимостей, связанных с контрабандой HTTP-запросов.

2. OWASP ZAP: сканер безопасности веб-приложений с открытым исходным кодом, который можно использовать для выявления и использования уязвимостей, связанных с контрабандой HTTP-запросов.

3. Fiddler: а бесплатный мультиплатформенный веб-прокси для отладки, который можно использовать для перехвата и изменения HTTP-запросов для ручного тестирования уязвимостей, связанных с контрабандой HTTP-запросов.

4. Telerik Fiddler: а прокси-сервер веб-отладки, который можно использовать для тестирования и отладки HTTP-трафика.

5. Wireshark: а бесплатный анализатор сетевых протоколов с открытым исходным кодом, который можно использовать для анализа и проверки HTTP-трафика для ручного тестирования уязвимостей, связанных с контрабандой HTTP-запросов.

6. Netcat: а простая и универсальная сетевая утилита, которую можно использовать для тестирования подключения по протоколу HTTP и использования уязвимостей, связанных с контрабандой HTTP-запросов.

Автоматизированные инструменты:

1. Acunetix: а сканер безопасности веб-приложений, который можно использовать для автоматизации обнаружения и использования уязвимостей, связанных с контрабандой HTTP-запросов.

2. Nessus: комплексный сканер уязвимостей, который можно использовать для выявления и использования уязвимостей, связанных с контрабандой HTTP-запросов.

3. Nmap: бесплатный сетевой картограф с открытым исходным кодом, который можно использовать для автоматизации обнаружения и использования уязвимостей, связанных с контрабандой HTTP-запросов.

4. sqlmap: инструмент с открытым исходным кодом для автоматизации обнаружения и использования уязвимостей SQL-инъекций.

5. OWASP DirBuster: инструмент перебора каталогов с открытым исходным кодом, который можно использовать для автоматизации обнаружения и использования уязвимостей, связанных с контрабандой HTTP-запросов.

6. Metasploit Framework: платформа с открытым исходным кодом для разработки и выполнения эксплойтов, которые могут быть использованы для автоматизации использования уязвимостей, связанных с контрабандой HTTP-запросов.

7. Arachni: сканер безопасности веб-приложений, который можно использовать для автоматизации обнаружения и использования уязвимостей, связанных с контрабандой HTTP-запросов.

8. Nikto: сканер веб-сервера с открытым исходным кодом, который можно использовать для автоматизации обнаружения и использования уязвимостей, связанных с контрабандой HTTP-запросов.

9. Skipfish: сканер безопасности веб-приложений с открытым исходным кодом, который можно использовать для автоматизации обнаружения и использования уязвимостей, связанных с контрабандой HTTP-запросов.

Плагины для браузера:

1. TamperData: плагин для браузера Firefox, который можно использовать для изменения HTTP-запросов в режиме реального времени для ручного тестирования уязвимостей, связанных с контрабандой HTTP-запросов.

2. Requestly: плагин для браузера для Chrome и Firefox, который можно использовать для изменения HTTP-запросов в режиме реального времени для ручного тестирования уязвимостей, связанных с контрабандой HTTP-запросов.

3. Edit This Cookie: плагин для браузера для Chrome и Firefox, который можно использовать для управления файлами cookie для ручного тестирования уязвимостей, связанных с контрабандой HTTP-запросов.

4. ModHeader: плагин для браузера для Chrome и Firefox, который можно использовать для изменения HTTP-заголовков в режиме реального времени для ручного тестирования уязвимостей, связанных с контрабандой HTTP-запросов.

5. Live HTTP Headers: плагин для браузера Firefox, который можно использовать для проверки HTTP-заголовков в режиме реального времени для ручного тестирования уязвимостей, связанных с контрабандой HTTP-запросов.

Средняя оценка CVSS уязвимостей, связанных с контрабандой HTTP-запросов

CVSS (Common Vulnerability Scoring System) - широко распространенный открытый отраслевой стандарт для оценки серьезности уязвимости. CVSS присваивает уязвимости оценку на основе ее потенциального воздействия и простоты использования.

Средний балл CVSS для уязвимостей, связанных с контрабандой HTTP-запросов, варьируется в зависимости от конкретной уязвимости и среды, в которой она существует. Как правило, оценка CVSS для уязвимостей, связанных с контрабандой HTTP-запросов, находится в диапазоне от 6,0 до 8,0, что считается средней или высокой степенью серьезности. Точная оценка зависит от различных факторов, таких как потенциальное воздействие уязвимости и простота ее использования.

В некоторых случаях уязвимости, связанные с контрабандой HTTP-запросов, могут использоваться для получения несанкционированного доступа к конфиденциальной информации, компрометации систем или проведения атаки типа "отказ в обслуживании" (DoS). Эти типы уязвимостей часто получают более высокий балл CVSS, поскольку они представляют значительный риск для организации и ее активов.

Всегда помните, что CVSS является лишь одним из факторов оценки серьезности уязвимости и должен использоваться в сочетании с другими методами оценки рисков и соображениями, специфичными для среды организации.

Общее перечисление слабых мест (CWE) для уязвимостей, связанных с контрабандой HTTP-запросов

Уязвимости, связанные с контрабандой HTTP-запросов, могут подпадать под несколько категорий CWE, включая:

CWE-113: Неправильная нейтрализация последовательностей CRLF в заголовках HTTP: Эта категория относится к неправильной обработке последовательностей возврата каретки / перевода строки (CRLF) в заголовках HTTP, которые могут использоваться для переправки вредоносных запросов в целевую систему.

CWE-287: Неправильная аутентификация: эта категория относится к недостаткам в процессе аутентификации, которые могут позволить злоумышленникам обойти средства контроля безопасности и получить доступ к конфиденциальной информации или системам.

CWE-20: Неправильная проверка входных данных: эта категория относится к недостаткам в проверке пользовательских входных данных, которые могут позволить злоумышленникам внедрять вредоносные полезные нагрузки в приложение.

CWE-352: Подделка межсайтовых запросов (CSRF): эта категория относится к слабым местам в защите приложения от атак с подделкой межсайтовых запросов, когда злоумышленник обманом заставляет пользователя отправлять запрос уязвимому приложению.

CWE-472: Внешнее управление настройками системы или конфигурации: эта категория относится к слабым местам в управлении приложением системными настройками или конфигурацией, которые могут быть использованы злоумышленниками для изменения настроек или получения несанкционированного доступа.

CWE-78: неправильная нейтрализация специальных элементов, используемых в команде (внедрение команды операционной системы): Эта категория относится к слабым местам в нейтрализации приложением специальных элементов, используемых в командах операционной системы, которые могут быть использованы злоумышленниками для внедрения вредоносных команд в систему.

CWE-22: Неправильное ограничение пути к ограниченному каталогу ("Обход пути"): эта категория относится к недостаткам в ограничении путей приложения к файлам к ограниченным каталогам, которые могут быть использованы злоумышленниками для доступа к файлам или каталогам за пределами предполагаемой области.

CWE-79: Неправильная нейтрализация ввода во время генерации веб-страницы ("Межсайтовый скриптинг"): эта категория относится к недостаткам в нейтрализации приложением пользовательского ввода во время генерации веб-страницы, которые могут быть использованы злоумышленниками для внедрения вредоносных скриптов на страницу.

Понимание этих категорий может помочь организациям расставить приоритеты в своих усилиях по обеспечению безопасности и принять меры по снижению рисков, связанных с уязвимостями, связанными с контрабандой HTTP-запросов.

Топ-10 последних CVE, связанных с уязвимостями, связанными с контрабандой HTTP-запросов

CVE-2022-42252  – Если Apache Tomcat с 8.5.0 по 8.5.82, с 9.0.0-M1 по 9.0.67, с 10.0.0-M1 по 10.0.26 или с 10.1.0-M1 по 10.1.0 был настроен на игнорирование недопустимых HTTP-заголовков, установив для rejectIllegalHeader значение false (по умолчанию только для 8.5.x), Tomcat не отклонял запрос, содержащий недопустимый заголовок Content-Length что делает возможной атаку на контрабанду запросов, если Tomcat был расположен за обратным прокси-сервером, который также не смог отклонить запрос с недопустимым заголовком.

CVE-2022-41721 – При использовании MaxBytesHandler возможна атака на контрабанду запросов. При использовании MaxBytesHandler тело HTTP-запроса используется не полностью. Когда сервер пытается прочитать фреймы HTTP2 из соединения, он вместо этого будет считывать тело HTTP-запроса, которым злоумышленник может манипулировать для представления произвольных запросов HTTP2.

CVE-2022-38114 – Эта уязвимость возникает, когда веб-серверу не удается корректно обработать запросы POST на длину содержимого. Это может привести к контрабанде HTTP-запросов или XSS.

CVE-2022-36760 – Непоследовательная интерпретация HTTP-запросов ("Контрабанда HTTP-запросов") уязвимость в mod_proxy_ajp HTTP-сервера Apache позволяет злоумышленнику переправлять запросы на AJP-сервер, на который он пересылает запросы. Эта проблема затрагивает HTTP-сервер Apache Apache HTTP Server 2.4 версии 2.4.54 и более ранних версий.

CVE-2022-35256 – Анализатор llhttp в модуле http в Node v18.7.0 неправильно обрабатывает поля заголовка, которые не завершаются CLRF. Это может привести к контрабанде HTTP-запросов.

CVE-2022-32215 – The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly handle multi-line Transfer-Encoding headers. This can lead to HTTP Request Smuggling (HRS).

CVE-2022-32214 – The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not strictly use the CRLF sequence to delimit HTTP requests. This can lead to HTTP Request Smuggling (HRS).

CVE-2022-32213 – The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly parse and validate Transfer-Encoding headers and can lead to HTTP Request Smuggling (HRS).

CVE-2022-26377 – Непоследовательная интерпретация HTTP-запросов ("Контрабанда HTTP-запросов") уязвимость в mod_proxy_ajp HTTP-сервера Apache позволяет злоумышленнику переправлять запросы на AJP-сервер, на который он пересылает запросы. Эта проблема затрагивает Apache HTTP Server Apache HTTP Server 2.4 версии 2.4.53 и предыдущие версии.

CVE-2022-2880 – Запросы, пересылаемые ReverseProxy, включают в себя исходные параметры запроса из входящего запроса, включая неперемещаемые параметры, отклоненные net / http. Это может привести к контрабанде параметров запроса, когда прокси-сервер Go пересылает параметр с недопустимым значением. После исправления ReverseProxy очищает параметры запроса в перенаправленном запросе, когда поле формы исходящего запроса устанавливается после ReverseProxy. Функция Director возвращает результат, указывающий на то, что прокси-сервер проанализировал параметры запроса. Прокси-серверы, которые не анализируют параметры запроса, продолжают пересылать исходные параметры запроса без изменений.

Список CVE постоянно обновляется и дополняется актуальный список всех существующих распространенных уязвимостей и уязвимостей (CVE) для уязвимостей, связанных с контрабандой HTTP-запросов, можно найти на официальном веб-сайте CVE https://cve.mitre.org/

Список популярных эксплойтов, связанных с уязвимостями, связанными с контрабандой HTTP-запросов

Наиболее распространенные эксплойты для уязвимостей, связанных с контрабандой HTTP-запросов:

1. Контрабанда кодирования передачи: вредоносный запрос может быть отправлен в целевую систему с заголовком кодирования передачи, который неправильно обрабатывается сервером. Это может привести к тому, что целевая система будет рассматривать тело запроса как отдельный запрос, что приведет к контрабанде запроса.

2. Контрабанда содержимого: вредоносный запрос может быть отправлен в целевую систему с заголовком длиной содержимого, который неправильно обрабатывается сервером. Это может привести к тому, что целевая система будет рассматривать тело запроса как отдельный запрос, что приведет к контрабанде запроса.

3. Разделение запросов: вредоносный запрос может быть разделен на два отдельных запроса, при этом первый запрос содержит информацию заголовка, а второй запрос содержит полезную нагрузку. Это может привести к тому, что целевая система будет обрабатывать два отдельных запроса как один запрос, что приведет к контрабанде запросов.

4. Внедрение заголовка: вредоносный запрос может быть отправлен в целевую систему с заголовком, который неправильно обрабатывается сервером. Это может привести к тому, что целевая система будет рассматривать тело запроса как отдельный запрос, что приведет к контрабанде запроса.

5. Кодировка URL-адреса: вредоносный запрос может быть отправлен в целевую систему с неправильно закодированным URL-адресом. Это может привести к тому, что целевая система будет рассматривать тело запроса как отдельный запрос, что приведет к контрабанде запроса.

Практика выявления и использования уязвимостей, связанных с контрабандой HTTP-запросов

Чтобы практиковать уязвимости, связанные с контрабандой HTTP-запросов, я бы рекомендовал следующие шаги:

1. Прочитайте и поймите концепции контрабанды HTTP-запросов, включая различные типы атак контрабанды и их последствия.

2. Настройте лабораторную среду с виртуальными машинами для тестирования и отработки методов эксплуатации.

3. Ознакомьтесь с различными инструментами, используемыми для использования контрабанды HTTP-запросов, такими как Burp Suite, ZAP и OWASP ZSC.

4. Используйте онлайн-ресурсы, такие как блоги, статьи и видеоуроки, чтобы получить более глубокое представление о контрабанде HTTP-запросов и методах ее использования.

5. Попрактикуйтесь в использовании уязвимостей, связанных с контрабандой HTTP-запросов, в уязвимых веб-приложениях или службах. Вы можете использовать уязвимые приложения или службы, которые были специально разработаны для целей тестирования, или вы можете использовать реальные примеры, если у вас есть на это разрешение.

6. Просмотрите результаты ваших тестов и проанализируйте влияние ваших методов эксплуатации. Постарайтесь выявить любые слабые места в вашем подходе и найти способы улучшить свои навыки.

7. Повторите описанные выше шаги, чтобы расширить свои знания и опыт.

Некоторые ресурсы, где вы можете попрактиковаться в уязвимостях контрабанды HTTP-запросов:

1. OWASP WebGoat Project – бесплатное, с открытым исходным кодом, намеренно небезопасное веб-приложение, предоставляемое в качестве безопасной среды для тестирования и обучения безопасности.

2. Hack The Box – платформа, которая предлагает множество проблем и уязвимых систем для тестирования и улучшения ваших навыков.

3. Платформы вознаграждения за ошибки – такие веб-сайты, как HackerOne и Bugcrowd, предлагают программы, в которых вы можете протестировать уязвимости и получить вознаграждение за ответственное сообщение о них.

4. Metasploitable – уязвимая виртуальная машина, которая может использоваться для тестирования и разработки эксплойтов.

5. Академия веб–безопасности PortSwigger - бесплатная обучающая платформа, предлагающая задания и учебные пособия по различным темам веб-безопасности, включая контрабанду HTTP-запросов.

Эти ресурсы предназначены только для образовательных и тестовых целей и не должны использоваться для атаки на реальные веб-сайты или системы.

Книги с обзором уязвимостей, связанных с контрабандой HTTP-запросов

Список книг, которые могут оказаться полезными для изучения уязвимостей, связанных с контрабандой HTTP-запросов:

1. “Справочник хакера веб-приложений: обнаружение и использование уязвимостей безопасности” Дафида Штуттарда и Маркуса Пинто - это всеобъемлющее руководство по поиску и использованию уязвимостей безопасности в веб-приложениях. Книга охватывает широкий круг тем, от базовых атак, таких как внедрение SQL и XSS, до более сложных атак, таких как контрабанда HTTP-запросов. Эта книга хорошо известна в сообществе безопасности за ее техническую глубину и практический подход.

2. “The Browser Hacker's Handbook” Уэйда Олкорна, Кристиана Фришо, Мишель Орру и Ферру Мавитуны - это всеобъемлющее руководство по внутренней работе веб-браузеров и использованию их уязвимостей. Книга охватывает широкий круг тем, включая контрабанду HTTP-запросов, и обеспечивает глубокое понимание базовых технологий, которые позволяют осуществлять эти атаки.

3. “Взлом серой шляпы: руководство этичного хакера” Аллена Харпера, Шона Харриса, Джонатана Несса, Криса Игла, Гидеона Ленки и Террона Уильямса - это всеобъемлющее руководство по искусству этического взлома. Книга охватывает широкий круг тем, включая контрабанду HTTP-запросов, и содержит практические советы и рекомендации о том, как ответственно тестировать и использовать уязвимости в системе безопасности.

4. “Основы взломов и хакерства: руководство для начинающих по этическому хакерству” г-на Иддриса Санду - это руководство для начинающих по миру хакерства и этического хакерства. Книга охватывает целый ряд тем, включая контрабанду HTTP-запросов, и дает фундаментальное понимание базовых технологий и методов, используемых хакерами.

5. “Хакерство: искусство эксплуатации” Джона Эриксона - классический текст об искусстве взлома. В книге представлен всеобъемлющий обзор основных технологий и методов, используемых хакерами для использования уязвимостей в системе безопасности, включая контрабанду HTTP-запросов. Эта книга считается обязательной к прочтению для всех, кто интересуется компьютерной безопасностью и хакерством.

Список полезных нагрузок для уязвимостей, связанных с контрабандой HTTP-запросов

Полезные нагрузки контрабанды HTTP-запросов могут принимать различные формы и методы, такие как:

1. Transfer-Encoding: фрагментированный – эта полезная нагрузка включает в себя манипуляции с заголовком Transfer-Encoding, который используется для указания кодировки тела HTTP. Указав фрагментированную кодировку, злоумышленник может отправлять несколько запросов в одном HTTP-соединении, что может позволить им обойти брандмауэры и другие средства контроля безопасности.

2. Манипулирование длиной содержимого - это включает в себя манипулирование заголовком длины содержимого для управления объемом данных, отправляемых в HTTP–запросе. Это может быть использовано для скрытия полезных нагрузок или иного изменения поведения приложения.

3. Конвейерная обработка запросов – это процесс отправки нескольких HTTP-запросов без ожидания ответов. Это может позволить злоумышленнику отправлять запросы, которые по-разному интерпретируются сервером, что потенциально может привести к уязвимостям.

4. Манипулирование заголовком соединения – заголовок соединения используется для управления постоянными соединениями в HTTP. Манипулируя этим заголовком, злоумышленник может контролировать поведение сервера, что потенциально может привести к уязвимостям.

5. Внедрение HTTP–заголовка - это процесс введения дополнительных заголовков в HTTP-запрос, который может быть использован для изменения поведения сервера.

6. Внедрение HTTP–трейлера - это похоже на внедрение HTTP-заголовка, но полезная нагрузка отправляется в трейлере HTTP-сообщения, которое можно использовать для обхода средств контроля безопасности.

7. Загрязнение параметров HTTP – это процесс введения дополнительных параметров в HTTP-запрос, которые могут быть использованы для изменения поведения сервера.

8. Разделение HTTP–запроса - это процесс разделения HTTP-запроса на несколько частей, который может быть использован для обхода средств контроля безопасности.

9. Отравление веб–кэша - это процесс внедрения вредоносного контента в веб-кэш, который может использоваться для предоставления вредоносного контента пользователям.

10. Контрабанда двойных запросов – это метод, который включает в себя отправку двух HTTP-запросов таким образом, что один из них интерпретируется сервером по-разному.

11. Атаки Slowloris – это тип атаки типа "Отказ в обслуживании" (DoS), которая работает, сохраняя HTTP-соединения открытыми в течение длительных периодов времени.

12. Манипулирование полем заголовка HTTP–запроса - это процесс манипулирования заголовками HTTP-запроса для изменения поведения сервера.

13. Символы, отличные от ASCII, в HTTP-запросах – это использование символов, отличных от ASCII, в HTTP-запросах, которые могут использоваться для обхода средств контроля безопасности.

14. Контрабанда HTTP-запросов по внеполосным каналам - это процесс отправки HTTP–запросов по каналам, которые не являются частью стандартной HTTP-связи, которая может использоваться для обхода средств контроля безопасности.

15. Вредоносные HTTP–перенаправления - это процесс перенаправления пользователей на вредоносные сайты, которые могут быть использованы для кражи конфиденциальной информации или установки вредоносного ПО.

16. Несколько HTTP–запросов в одном пакете - это процесс отправки нескольких HTTP-запросов в одном сетевом пакете, который может быть использован для обхода средств контроля безопасности.

17. Контрабанда HTTP–запросов через несколько доменов - это процесс отправки HTTP-запросов через несколько доменов, который может быть использован для обхода средств контроля безопасности.

18. Контрабанда HTTP–запросов через неправильно настроенные прокси-серверы - это процесс использования неправильно настроенных прокси-серверов для обхода средств контроля безопасности.

19. Контрабанда HTTP–запросов через неправильно настроенные балансировщики нагрузки - это процесс использования неправильно настроенных балансировщиков нагрузки для обхода средств контроля безопасности.

Полезная нагрузка и методы, используемые для контрабанды HTTP-запросов, могут быстро меняться, поэтому важно быть в курсе последней информации и лучших практик.

Меры по смягчению последствий и способы защиты от Контрабанда HTTP-запросов уязвимые места

Существует несколько шагов, которые можно предпринять для защиты от атак контрабанды HTTP-запросов:

1. Проверка пользовательских вводимых данных: все вводимые данные должны быть проверены на содержание и длину, чтобы гарантировать, что вредоносные запросы не могут быть незаконно проникнуты в систему.

2. Используйте брандмауэр веб-приложений (WAF): WAF - это важный уровень безопасности, который может обнаруживать и блокировать вредоносные HTTP-запросы. Некоторые WAF имеют специальные правила для предотвращения атак с контрабандой HTTP-запросов.

3. Внедрите надлежащую обработку ошибок: убедитесь, что ваше веб-приложение может правильно обрабатывать ошибки, чтобы оно могло отвечать на любые вредоносные запросы контролируемым образом.

4. Регулярно обновляйте программное обеспечение: обновляйте свое программное обеспечение и библиотеки, чтобы убедиться, что все уязвимости исправлены.

5. Мониторинг сетевого трафика: регулярно отслеживайте сетевой трафик, чтобы выявить любые подозрительные запросы, которые могут указывать на атаку с использованием контрабанды HTTP-запросов.

6. Используйте системы обнаружения вторжений (IDS): системы IDS могут обнаруживать и предупреждать о любой вредоносной сетевой активности, что может помочь в выявлении и реагировании на атаки, связанные с контрабандой HTTP-запросов.

7. Обучите сотрудников: убедитесь, что ваши сотрудники осведомлены об опасностях атак с использованием контрабанды HTTP-запросов и о том, как их идентифицировать. Регулярное обучение безопасности может помочь свести к минимуму риск этих атак.

8. Регулярно проводите аудиты безопасности: Регулярные аудиты безопасности могут выявить любые уязвимости в ваших системах, что может помочь в их упреждающем устранении, прежде чем они смогут быть использованы злоумышленниками.

Реализуя эти шаги, организации могут значительно снизить риск атаки с использованием контрабанды HTTP-запросов и повысить общую безопасность своих систем.

Заключение

Контрабанда HTTP-запросов - это тип уязвимости веб-приложения, которая использует способ обработки HTTP-запросов серверами и промежуточными устройствами, такими как обратные прокси, балансировщики нагрузки и кэширующие серверы. Злоумышленники могут манипулировать содержимым и форматом HTTP-запросов, чтобы обойти фильтры безопасности, манипулировать предполагаемой целью или вмешиваться в ожидаемый ответ от сервера.

Другие Услуги

Готовы к безопасности?

Связаться с нами