17 Січ, 2023

Контрабанда HTTP-запитів

Vulnerability Assessment as a Service (VAaaS)

Tests systems and applications for vulnerabilities to address weaknesses.

Абревіатура для контрабанди HTTP-запитів - "HTTP Контрабанда" або "HTTPRS".

Контрабанда HTTP-запитів це метод, використовуваний для використання уразливості в веб-серверах або проксі-серверах, яка виникає в результаті того, як вони аналізують і обробляють HTTP-запити. Уразливість може бути використана для того, щоб змусити сервер невірно інтерпретувати запит і виконувати ненавмисні дії, такі як обхід засобів контролю безпеки або доступ до обмежених ресурсів. Цей метод також може бути використаний для запуску різних атак, таких як міжсайтовий скриптінг (XSS) і відмова в обслуговуванні (DoS). Це може дозволити зловмисникам відправити другий, незаконний запит, який не виявляється або блокується сервером, що дозволяє їм обійти засоби контролю безпеки або здійснювати шкідливі дії, такі як впровадження шкідливого ПЗ або крадіжка конфіденційних даних. Важливо підтримувати програмне забезпечення в актуальному стані і правильно налаштувати веб-сервери, щоб запобігти атаки з використанням контрабанди HTTP-запитів.

Контрабанда HTTP - це дефект, що виникає, коли кілька HTTP-запитів з одного і того ж цільового хоста і порту відправляються на сервер і обробляються по-різному, що призводить до випадкового поведінки.

Як правило, для виявлення вразливостей, пов'язаних з контрабандою HTTP-запитів, з допомогою Burp Suite можна виконати наступні дії:

1. Надішліть звичайний запит на сервер з допомогою проксі-сервера Burp Suite.

2. Змінити запит, щоб включити кілька запитів з одним і тим самим хостом і портом, використовуючи заголовок Content-Length або Transfer-Encoding для переправлення додаткового запиту.

3. Спостерігайте за відповіддю сервера і шукайте будь-яке несподіване поведінку, таку як обробка додаткових запитів або повернення неправильних відповідей.

4. Підтвердіть вразливість, повторивши процес з різними варіантами запиту.

Ось приклад того, як ви можете використовувати Burp Suite для виявлення уразливості, пов'язаної з контрабандою вмісту:

1. Спочатку відправте запит цільовим додатком за допомогою проксі-інструменту Burp Suite.

2. Після захоплення запиту ви можете використовувати інструмент Repeater, щоб змінити запит і спробувати різні корисні навантаження.

3. Для перевірки на контрабанду довжини вмісту ви можете змінити заголовок довжини вмісту в запиті, щоб він був більше або менше фактичного розміру тіла запиту.

4. Якщо цільове додаток вразливим для контрабанди вмісту, ви можете спостерігати різну поведінку у відповіді, наприклад, несподівані повідомлення про помилки, неповні відповіді або повільне час відгуку.

5. Якщо цільове додаток не є вразливим, ви можете зауважити, що відповідь не змінився.

Ось приклад того, як ви можете використовувати Burp Suite для виявлення уразливості, пов'язаної з контрабандою кодування передачі:

1. Спочатку відправте запит цільовим додатком за допомогою проксі-інструменту Burp Suite.

2. Після захоплення запиту ви можете використовувати інструмент Repeater, щоб змінити запит і спробувати різні корисні навантаження.

3. Щоб перевірити контрабанду кодування передачі, ви можете додати до запиту наступний заголовок:

				
					Transfer-Encoding: chunked
				
			

4. Якщо цільове додаток вразливим для Передача-Кодування В іншому випадку ви можете спостерігати різну поведінку у відповіді, наприклад несподівані повідомлення про помилки, неповні відповіді або повільне час відгуку.

5. Якщо цільове додаток не є вразливим, ви можете зауважити, що відповідь не змінився.

Ці кроки є лише одним із способів виявлення вразливостей, пов'язаних з контрабандою HTTP-запитів, з використанням Burp Suite, і що точний використовуваний метод може змінюватись в залежності від конкретної реалізації і конфігурації сервера.

Поширені приклади використання вразливостей, пов'язаних з контрабандою HTTP-запитів

1. Контрабанда вмісту і довжини: Цей тип контрабанди виникає, коли сервер покладається на заголовок Content-Length для визначення довжини тіла запиту, але значення заголовка манипулируется для контрабанди додаткового запиту. Наприклад, зловмисник може надіслати запит зі значенням заголовка Content-Length, що більше фактичного тіла запиту, і сервер може обробити додатковий запит, який був доданий до вихідного запиту.

				
					GET /example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,appliGET /example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Content-Length: 20

GET /another-example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
cation/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
				
			

У цьому прикладі перший запит включає заголовок Content-Length зі значенням 20. Другий запит був доданий після першого запиту, розділений порожнім рядком. Цей запит відноситься до URL-адресою http://www.example.com/another-example. Два запиту мають різні заголовки і значення.

Це приклад контрабандного запиту з використанням Довжина вмісту контрабанда, оскільки сервер може неправильно інтерпретувати довжину першого запиту і обробляти другий запит як частина першого, що призводить до несподіваного поведінки і потенційно вразливих місцях, які можна використовувати, включаючи контрабанду HTTP-запитів.

2. Передача-Кодування Контрабанди: Цей тип контрабанди виникає, коли сервер покладається на заголовок Transfer-Encoding для визначення кодування тіла запиту, але значення заголовка манипулируется для контрабанди додаткового запиту. Наприклад, зловмисник може надіслати запит із заголовком Transfer-Encoding: chunked і заголовком Content-Length, і сервер може обробити додатковий запит, який був доданий до вихідного запиту.

				
					GET /example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Transfer-Encoding: chunked

GET /another-example HTTP/1.1
Host: www.example.com
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:122.0) Gecko/20100101 Firefox/122.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1

				
			

У цьому прикладі перший запит включає в себе Передача-Кодування заголовок зі значенням розірваний на шматки. Другий запит був доданий після першого запиту, розділений порожнім рядком. Цей запит відноситься до URL-адресою http://www.example.com/another-example. Два запиту мають різні заголовки і значення.

Це приклад контрабандного запиту з використанням Передача-Кодування контрабанда, оскільки сервер може неправильно інтерпретувати кодування першого запиту і обробляти другий запит як частина першого, що призводить до несподіваного поведінки і потенційно вразливих місцях, які можна використовувати, включаючи контрабанду HTTP-запитів.

У Burp Suite ви можете змінити цей запит і додати, видалити або змінити заголовки, а також змінити метод запиту, щоб побачити, як сервер відповідає на різні запити. Це може бути корисно для тестування і виявлення вразливостей, включаючи контрабанду HTTP.

Ці два приклади є загальними, оскільки багато веб-сервери покладаються на Довжина вмісту and Передача-Кодування заголовки для визначення структури HTTP-запитів, і цими заголовками часто маніпулюють при атаках з контрабандою HTTP-запитів. Важливо завжди перевіряти вхідні дані і слідувати рекомендаціям щодо безпеки, щоб запобігти уразливості в ваших додатках.

Методи підвищення привілеїв, пов'язані з уразливими місцями, пов'язаними з контрабандою HTTP-запитів

Список методів підвищення привілеїв, які можуть бути використані при уразливості, пов'язаної з контрабандою HTTP-запитів:

1. Уособлення: зміна заголовків запиту для уособлення користувача з більш високими привілеями.

2. Контрабанда ресурсів: контрабанда запиту на інший ресурс з більш високими привілеями.

3. Обхід доступу: обхід контролю доступу для доступу до конфіденційної інформації або виконання привілейованих дій.

4. Несанкціоновані дії: введення додаткових запитів для виконання несанкціонованих дій.

5. Зміна параметрів: зміна параметрів запиту з метою зміни обробки внутрішнім сервером.

6. Доступ до конфіденційних ресурсів: переправлення запитів на конфіденційні ресурси, які зазвичай захищені засобами контролю доступу.

7. Використання логічних помилок: використання логічних помилок в додатку для отримання більш високих привілеїв.

8. Впровадження коду: впровадження шкідливого коду в запит на виконання довільного коду на внутрішньому сервері.

9. Обхід заходи безпеки: обхід обмеження швидкості або інших заходів безпеки.

10. Доступ до конфіденційних даних: контрабанда запитів для обходу заходів безпеки і отримання доступу до конфіденційних даних.

Загальна методологія та контрольний список вразливостей для контрабанди HTTP-запитів

Загальна методологія тестування вразливостей, пов'язаних з контрабандою HTTP-запитів, може бути коротко викладена в наступних кроках:

1. Дослідження і відкриття: дослідження технологічного стека і архітектури цільової системи, а також визначення потенційних областей для контрабанди запитів.

2. Аналіз конфігурації: проаналізуйте конфігурацію цільової системи, включаючи налаштування HTTP і веб-сервера, для виявлення потенційних недоліків.

3. Аналіз запитів: Аналізуйте запити, надіслані в цільову систему, в пошуках потенційних векторів для контрабанди запитів.

4. Перевірка уразливості: перевірте наявність контрабанди запитів шляхом впровадження шкідливих корисних навантажень на запити і спостереження за відповіддю цільової системи.

5. Експлуатація: спроба використовувати уразливість, пов'язану з контрабандою запитів, для підвищення привілеїв, обходу заходів безпеки або доступу до конфіденційних даних.

6. Звітність: Документуйте висновки і надайте зацікавленим сторонам всеохоплюючий звіт, включаючи рекомендації по виправленню положення.

Контрольний список для тестування вразливостей, пов'язаних з контрабандою HTTP-запитів, що буде включати наступні пункти:

  • Перевірте, чи підтримує цільова система конвеєрну обробку HTTP.

  • Перевірте наявність зворотних проксі-серверів і балансировщиков навантаження.

  • Перевірте, обробляється чи кілька запитів в одному з'єднанні.

  • Перевірте, чи не обробляється чи кілька заголовків завдовжки вміст.

  • Перевірте, чи не обробляється чи кілька заголовків з кодуванням передачі.

  • Перевірте, чи не обробляються чи недійсні запити.

  • Перевірте, чи не обробляються чи накладання запити.

  • Перевірте, чи не обробляються чи шкідливі корисні навантаження в запитах.

  • Перевірте, чи не вразлива чи цільова система для атак з використанням контрабанди HTTP-запитів.

  • Спроба використовувати уразливість для підвищення привілеїв чи доступу до конфіденційних даних.

Набір інструментів для використання вразливостей, пов'язаних з контрабандою HTTP-запитів

Ручні Інструменти:

1. Burp Suite: а популярний інструмент тестування безпеки веб-додатків, який можна використовувати для ручного тестування та використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

2. OWASP ZAP: сканер безпеки веб-додатків з відкритим вихідним кодом, який можна використовувати для виявлення і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

3. Fiddler: а безкоштовний мультиплатформовий веб-проксі для відладки, який можна використовувати для перехоплення і зміни HTTP-запитів для ручного тестування вразливостей, пов'язаних з контрабандою HTTP-запитів.

4. Telerik Fiddler: а проксі-сервер веб-налагодження, який можна використовувати для тестування і налагодження HTTP-трафіку.

5. Wireshark: а безкоштовний аналізатор мережевих протоколів з відкритим вихідним кодом, який можна використовувати для аналізу і перевірки HTTP-трафіку для ручного тестування вразливостей, пов'язаних з контрабандою HTTP-запитів.

6. Netcat: а проста і універсальна мережева утиліта, яку можна використовувати для тестування підключення по протоколу HTTP і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

Автоматизовані інструменти:

1. Acunetix: а сканер безпеки веб-додатків, який можна використовувати для автоматизації виявлення і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

2. Nessus: комплексний сканер вразливостей, який можна використовувати для виявлення і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

3. Nmap: безкоштовний мережевий картограф з відкритим вихідним кодом, який можна використовувати для автоматизації виявлення і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

4. sqlmap: інструмент з відкритим вихідним кодом для автоматизації виявлення і використання вразливостей SQL-ін'єкцій.

5. OWASP DirBuster: інструмент перебору каталогів з відкритим вихідним кодом, який можна використовувати для автоматизації виявлення і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

6. Metasploit Framework: платформа з відкритим вихідним кодом для розробки і виконання експлойтів, які можуть бути використані для автоматизації використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

7. Arachni: сканер безпеки веб-додатків, який можна використовувати для автоматизації виявлення і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

8. Nikto: сканер веб-сервер з відкритим вихідним кодом, який можна використовувати для автоматизації виявлення і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

9. Skipfish: сканер безпеки веб-додатків з відкритим вихідним кодом, який можна використовувати для автоматизації виявлення і використання вразливостей, пов'язаних з контрабандою HTTP-запитів.

Плагіни для браузера:

1. TamperData: плагін для браузера Firefox, який можна використовувати для зміни HTTP-запитів у режимі реального часу для ручного тестування вразливостей, пов'язаних з контрабандою HTTP-запитів.

2. Requestly: плагін для браузера Chrome і Firefox, який можна використовувати для зміни HTTP-запитів у режимі реального часу для ручного тестування вразливостей, пов'язаних з контрабандою HTTP-запитів.

3. Edit This Cookie: плагін для браузера Chrome і Firefox, який можна використовувати для управління файлами cookie для ручного тестування вразливостей, пов'язаних з контрабандою HTTP-запитів.

4. ModHeader: плагін для браузера Chrome і Firefox, який можна використовувати для зміни HTTP-заголовків у режимі реального часу для ручного тестування вразливостей, пов'язаних з контрабандою HTTP-запитів.

5. Live HTTP Headers: плагін для браузера Firefox, який можна використовувати для перевірки HTTP-заголовків у режимі реального часу для ручного тестування вразливостей, пов'язаних з контрабандою HTTP-запитів.

Середня оцінка CVSS вразливостей, пов'язаних з контрабандою HTTP-запитів

CVSS (Common Vulnerability Scoring System) - широко поширений відкритий галузевий стандарт для оцінки серйозності уразливості. CVSS присвоює уразливості оцінку на основі її потенційного впливу та простоти використання.

Середній бал CVSS для вразливостей, пов'язаних з контрабандою HTTP-запитів, варіюється в залежності від конкретної уразливості і середовища, в якій вона існує. Як правило, оцінка CVSS для вразливостей, пов'язаних з контрабандою HTTP-запитів, знаходиться в діапазоні від 6,0 до 8,0, що вважається середньою або високою ступенем серйозності. Точна оцінка залежить від різних факторів, таких як потенційний вплив уразливості і простота її використання.

В деяких випадках проблеми, пов'язані з контрабандою HTTP-запитів, можуть використовуватися для отримання несанкціонованого доступу до конфіденційної інформації, компрометації систем або проведення атаки типу "відмова в обслуговуванні" (DoS). Ці типи вразливостей часто отримують більш високий бал CVSS, оскільки вони становлять значний ризик для організації та її активів.

Завжди пам'ятайте, що CVSS є лише одним з факторів оцінки серйозності уразливості і повинен використовуватися в поєднанні з іншими методами оцінки ризиків і міркуваннями, специфічними для середовища організації.

Загальна перерахування слабких місць (CWE) для вразливостей, пов'язаних з контрабандою HTTP-запитів

Проблеми, пов'язані з контрабандою HTTP-запитів, можуть підпадати під кілька категорій CWE, включаючи:

CWE-113: Неправильна нейтралізація послідовності CRLF в заголовках HTTP: Ця категорія відноситься до неправильної обробки послідовностей повернення каретки / переведення рядка (CRLF) в заголовках HTTP, які можуть використовуватися для переправлення шкідливих запитів в цільову систему.

CWE-287: Неправильна аутентифікація: ця категорія відноситься до недоліків в процесі аутентифікації, які можуть дозволити зловмисникам обійти засоби контролю безпеки і отримати доступ до конфіденційної інформації або систем.

CWE-20: Неправильна перевірка вхідних даних: ця категорія відноситься до недоліків у перевірці користувальницьких вхідних даних, які можуть дозволити зловмисникам впроваджувати шкідливі корисні навантаження в додаток.

CWE-352: Підробка міжсайтових запитів (CSRF): ця категорія відноситься до слабких місць в захисті програми від атак з підробкою міжсайтових запитів, коли зловмисник обманом змушує користувача відправляти запит уразливого додатком.

CWE-472: Зовнішнє управління налаштуваннями системи або конфігурації: ця категорія відноситься до слабких місць в управлінні додатком системними налаштуваннями або конфігурацією, які можуть бути використані зловмисниками для зміни налаштувань або отримання несанкціонованого доступу.

CWE-78: неправильна нейтралізація спеціальних елементів, використовуваних в команді (впровадження команди операційної системи): Ця категорія відноситься до слабких місць в нейтралізації додатком спеціальних елементів, які використовуються в командах операційної системи, які можуть бути використані зловмисниками для впровадження шкідливих команд в систему.

CWE-22: Неправильне обмеження шляху до обмеженого каталогу ("Обхід шляху"): ця категорія відноситься до недоліків в обмеженні шляхів додатки до файлів до обмеженим каталогах, які можуть бути використані зловмисниками для доступу до файлів або каталогів за межами передбачуваної області.

CWE-79: Неправильна нейтралізація вводу під час генерації веб-сторінки ("Міжсайтовий скриптінг"): ця категорія відноситься до недоліків у нейтралізації додатком користувальницького введення під час генерації веб-сторінки, які можуть бути використані зловмисниками для впровадження шкідливих скриптів на сторінку.

Розуміння цих категорій може допомогти організаціям розставити пріоритети у своїх зусиллях по забезпеченню безпеки і вжити заходів щодо зниження ризиків, пов'язаних із вразливостями, пов'язаними з контрабандою HTTP-запитів.

Топ-10 останніх CVE, пов'язаних з уразливими місцями, пов'язаними з контрабандою HTTP-запитів

CVE-2022-42252  – Якщо Apache Tomcat з 8.5.0 за 8.5.82, з 9.0.0-M1 по 9.0.67, з 10.0.0-M1 по 10.0.26 або з 10.1.0-M1 по 10.1.0 був налаштований на ігнорування неприпустимих HTTP-заголовків, встановивши для rejectIllegalHeader значення false (за замовчуванням тільки для 8.5.x), Tomcat не відхиляв запит, що містить некоректний заголовок Content-Length що робить можливу атаку на контрабанду запитів, якщо Tomcat був розташований за зворотним проксі-сервером, який також не зміг відхилити запит з неприпустимим заголовком.

CVE-2022-41721 – При використанні MaxBytesHandler можлива атака на контрабанду запитів. При використанні MaxBytesHandler тіло HTTP-запиту використовується не повністю. Коли сервер намагається прочитати фрейми HTTP2 з з'єднання, він замість цього буде зчитувати тіло HTTP-запиту, яким зловмисник може маніпулювати для представлення довільних запитів HTTP2.

CVE-2022-38114 – Ця вразливість виникає, коли веб-сервер не може коректно обробити запити POST на довжину вмісту. Це може призвести до контрабанди HTTP-запитів або XSS.

CVE-2022-36760 – Непослідовна інтерпретація HTTP-запитів ("Контрабанда HTTP-запитів") уразливість в mod_proxy_ajp HTTP-сервера Apache дозволяє зловмисникові переправляти запити на AJP-сервер, на який він пересилає запити. Ця проблема зачіпає HTTP-сервер Apache Apache HTTP Server версії 2.4 2.4.54 і більш ранніх версій.

CVE-2022-35256 – Аналізатор llhttp в модулі http Node v18.7.0 неправильно обробляє поля заголовка, які не завершуються CLRF. Це може призвести до контрабанди HTTP-запитів.

CVE-2022-32215 – The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly handle multi-line Transfer-Encoding headers. This can lead to HTTP Request Smuggling (HRS).

CVE-2022-32214 – The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not strictly use the CRLF sequence to delimit HTTP requests. This can lead to HTTP Request Smuggling (HRS).

CVE-2022-32213 – The llhttp parser <v14.20.1, <v16.17.1 and <v18.9.1 in the http module in Node.js does not correctly parse and validate Transfer-Encoding headers and can lead to HTTP Request Smuggling (HRS).

CVE-2022-26377 – Непослідовна інтерпретація HTTP-запитів ("Контрабанда HTTP-запитів") уразливість в mod_proxy_ajp HTTP-сервера Apache дозволяє зловмисникові переправляти запити на AJP-сервер, на який він пересилає запити. Ця проблема зачіпає Apache HTTP Server Apache HTTP Server версії 2.4 2.4.53 та попередні версії.

CVE-2022-2880 – Запити, що надсилаються ReverseProxy, включають в себе початкові параметри запиту з вхідного запиту, включаючи неперемещаемые параметри, відхилені net / http. Це може призвести до контрабанди параметрів запиту, коли проксі-сервер Go пересилає параметр з неприпустимим значенням. Після виправлення ReverseProxy очищає параметри запиту в перенаправленном запиті, коли поле форми вихідного запиту встановлюється після ReverseProxy. Функція Director повертає результат, який вказує на те, що проксі-сервер проаналізував параметри запиту. Проксі-сервери, які не аналізують параметри запиту, продовжують пересилати вихідні параметри запиту без змін.

Список CVE постійно оновлюється і доповнюється актуальний список всіх існуючих поширених загроз і вразливостей (CVE) для вразливостей, пов'язаних з контрабандою HTTP-запитів, можна знайти на офіційному веб-сайті CVE https://cve.mitre.org/

Список популярних експлойтів, пов'язаних з уразливими місцями, пов'язаними з контрабандою HTTP-запитів

Найбільш поширені експлойти для вразливостей, пов'язаних з контрабандою HTTP-запитів:

1. Контрабанда кодування передачі: шкідливий запит може бути відправлений в цільову систему з заголовком кодування передачі, який неправильно обробляється сервером. Це може призвести до того, що цільова система буде розглядати тіло запиту як окремий запит, що призведе до контрабанди запиту.

2. Контрабанда вмісту: шкідливий запит може бути відправлений в цільову систему з заголовком довжиною вмісту, який неправильно обробляється сервером. Це може призвести до того, що цільова система буде розглядати тіло запиту як окремий запит, що призведе до контрабанди запиту.

3. Поділ запитів: шкідливий запит може бути розділений на два окремих запиту, при цьому перший запит містить інформацію заголовка, а другий запит містить корисну навантаження. Це може призвести до того, що цільова система буде обробляти два окремих запиту як один запит, що призведе до контрабанди запитів.

4. Впровадження заголовка: шкідливий запит може бути відправлений в цільову систему із заголовком, який неправильно обробляється сервером. Це може призвести до того, що цільова система буде розглядати тіло запиту як окремий запит, що призведе до контрабанди запиту.

5. Кодування URL-адреси: шкідливий запит може бути відправлений в цільову систему з неправильно закодованим URL-адресою. Це може призвести до того, що цільова система буде розглядати тіло запиту як окремий запит, що призведе до контрабанди запиту.

Практика виявлення та використання вразливостей, пов'язаних з контрабандою HTTP-запитів

Щоб практикувати уразливості, пов'язані з контрабандою HTTP-запитів, я б рекомендував наступні кроки:

1. Прочитайте і зрозумійте концепції контрабанди HTTP-запитів, включаючи різні типи атак контрабанди та їх наслідки.

2. Налаштуйте лабораторну середу з віртуальними машинами для тестування та відпрацювання методів експлуатації.

3. Ознайомтеся з різними інструментами, використовуваними для використання контрабанди HTTP-запитів, такими як Burp Suite, ZAP і OWASP ZSC.

4. Використовуйте онлайн-ресурси, такі як блоги, статті та відеоуроки, щоб отримати більш глибоке уявлення про контрабанду HTTP-запитів та методи її використання.

5. Попрактикуйтесь у використанні вразливостей, пов'язаних з контрабандою HTTP-запитів, в уразливих веб-додатках або службах. Ви можете використовувати вразливі програми або служби, що були спеціально розроблені для цілей тестування, або ви можете використовувати реальні приклади, якщо у вас є на це дозвіл.

6. Перегляньте результати ваших тестів та проаналізуйте вплив ваших методів експлуатації. Постарайтеся виявити будь-які слабкі місця у вашому підході і знайти способи поліпшити свої навички.

7. Повторіть описані вище кроки, щоб розширити свої знання і досвід.

Деякі ресурси, де ви можете попрактикуватися в вразливості контрабанди HTTP-запитів:

1. OWASP WebGoat Project – безкоштовна, з відкритим вихідним кодом, навмисно небезпечне веб-додаток, що надається в якості безпечного середовища для тестування і навчання безпеки.

2. Hack The Box – платформа, яка пропонує безліч проблем і уразливих систем для тестування і поліпшення ваших навичок.

3. Платформи винагороди за помилки – такі веб-сайти, як HackerOne і Bugcrowd, пропонують програми, в яких ви можете протестувати уразливості і отримати винагороду за відповідальне повідомлення про них.

4. Metasploitable – вразлива віртуальна машина, яка може використовуватися для тестування і розробки експлойтів.

5. Академія веб–безпеки PortSwigger - безкоштовна навчальна платформа, яка пропонує завдання і навчальні посібники з різних тем веб-безпеки, включаючи контрабанду HTTP-запитів.

Ці ресурси призначені тільки для освітніх і тестових цілей і не повинні використовуватися для атаки на реальні веб-сайти або системи.

Книги з оглядом вразливостей, пов'язаних з контрабандою HTTP-запитів

Список книг, які можуть виявитися корисними для вивчення вразливостей, пов'язаних з контрабандою HTTP-запитів:

1. "Довідник хакера веб-додатків: виявлення і використання вразливостей безпеки" Дафида Штуттарда і Маркуса Пінто - це всеосяжне керівництво по пошуку і використанню вразливостей безпеки у веб-додатках. Книга охоплює широке коло тем, від базових атак, таких як впровадження SQL і XSS, до більш складних атак, таких як контрабанда HTTP-запитів. Ця книга добре відома в співтоваристві безпеки за її технічну глибину і практичний підхід.

2. "The Browser hacker's Handbook" Уейда Олкорна, Крістіана Фришо, Мішель Орру та Ферро Мавитуны - це всеосяжне керівництво по внутрішній роботі веб-браузерів і використання вразливостей. Книга охоплює широке коло тем, включаючи контрабанду HTTP-запитів, забезпечує глибоке розуміння базових технологій, які дозволяють здійснювати ці атаки.

3. "Злом сірої капелюхи: керівництво етичного хакера" Аллена Харпера, Шона Харріса, Джонатана Несса, Кріса Голка, Гідеона Оленки і Террона Вільямса - це всеосяжне керівництво по мистецтву етичного злому. Книга охоплює широке коло тем, включаючи контрабанду HTTP-запитів, і містить практичні поради та рекомендації про те, як відповідально тестувати і використовувати уразливість в системі безпеки.

4. "Основи зломів і хакерства: керівництво для початківців по етичним хакерства" г-на Иддриса Санду - це керівництво для початківців по світу хакерства і етичного хакерства. Книга охоплює цілий ряд тем, включаючи контрабанду HTTP-запитів, і дає фундаментальне розуміння базових технологій і методів, використовуваних хакерами.

5. "Хакерство: мистецтво експлуатації" Джона Еріксона - класичний текст про мистецтво злому. У книзі представлений всеосяжний огляд основних технологій і методів, що використовуються хакерами для використання вразливостей в системі безпеки, включаючи контрабанду HTTP-запитів. Ця книга вважається обов'язковою до прочитання для всіх, хто цікавиться комп'ютерною безпекою і хакерством.

Список корисних навантажень для вразливостей, пов'язаних з контрабандою HTTP-запитів

Корисні навантаження контрабанди HTTP-запитів можуть приймати різні форми і методи, такі як:

1. Transfer-Encoding: фрагментований – ця корисна навантаження включає в себе маніпуляції з заголовком Transfer-Encoding, який використовується для вказівки кодування HTTP тіла. Вказавши фрагментовану кодування, зловмисник може відправляти кілька запитів в одному HTTP-з'єднання, що може дозволити їм обійти брандмауери та інші засоби контролю безпеки.

2. Маніпулювання довжиною вмісту - це включає в себе маніпулювання заголовком довжини вмісту для управління обсягом даних, що надсилаються в HTTP–запиті. Це може бути використано для приховування корисних навантажень або іншої зміни поведінки програми.

3. Конвеєрна обробка запитів – це процес відправлення кількох HTTP-запитів без очікування відповідей. Це може дозволити зловмиснику відправляти запити, які по-різному інтерпретуються сервером, що потенційно може призвести до вразливостей.

4. Маніпулювання заголовком з'єднання – заголовок з'єднання використовується для управління постійними сполуками в HTTP. Маніпулюючи цим заголовком, зловмисник може контролювати поведінку сервера, що потенційно може призвести до вразливостей.

5. Впровадження HTTP–заголовка - це процес введення додаткових заголовків в HTTP-запит, який може бути використаний для зміни поведінки сервера.

6. Впровадження HTTP трейлера - це схоже на впровадження HTTP-заголовка, але корисне навантаження відправляється в трейлері HTTP-повідомлення, яке можна використовувати для обходу засобів контролю безпеки.

7. Забруднення параметрів HTTP – це процес введення додаткових параметрів в HTTP-запит, які можуть бути використані для зміни поведінки сервера.

8. Поділ HTTP–запиту - це процес поділу HTTP-запиту на кілька частин, який може бути використаний для обходу засобів контролю безпеки.

9. Отруєння веб–кеша - це процес впровадження шкідливого контенту на веб-кеш, який може використовуватися для надання шкідливого контенту користувачам.

10. Контрабанда подвійних запитів – це метод, який включає в себе відправку двох HTTP-запитів таким чином, що один з них інтерпретується сервером по-різному.

11. Атаки Slowloris – це тип атаки типу "Відмова в обслуговуванні" (DoS), яка працює, зберігаючи HTTP-з'єднання відкритими протягом тривалих періодів часу.

12. Маніпулювання полем заголовка HTTP–запиту - це процес маніпулювання заголовками HTTP-запиту для зміни поведінки сервера.

13. Символи, відмінні від ASCII, в HTTP-запити – це використання символів, відмінних від ASCII, в HTTP-запитів, які можуть використовуватися для обходу засобів контролю безпеки.

14. Контрабанда HTTP-запитів по внеполосным каналах - це процес відправлення HTTP–запитів по каналах, які не є частиною стандартної HTTP-зв'язку, яка може використовуватися для обходу засобів контролю безпеки.

15. Шкідливі HTTP перенаправлення - це процес перенаправлення користувачів на шкідливі сайти, які можуть бути використані для крадіжки конфіденційної інформації або встановлення шкідливого ПО.

16. Кілька HTTP–запитів в одному пакеті - це процес відправлення кількох HTTP-запитів в одному мережевому пакет, який може бути використаний для обходу засобів контролю безпеки.

17. Контрабанда HTTP–запитів через кілька доменів - це процес відправлення HTTP-запитів через кілька доменів, який може бути використаний для обходу засобів контролю безпеки.

18. Контрабанда HTTP–запитів через неправильно налаштовані проксі-сервери - це процес використання неправильно налаштованих проксі-серверів для обходу засобів контролю безпеки.

19. Контрабанда HTTP–запитів через неправильно налаштовані балансировщики навантаження - це процес використання неправильно налаштованих балансировщиков навантаження для обходу засобів контролю безпеки.

Корисна навантаження і методи, які використовуються для контрабанди HTTP-запитів, можуть швидко змінюватися, тому важливо бути в курсі останньої інформації і найкращих практик.

Заходи по пом'якшенню наслідків та способи захисту від Контрабанда HTTP-запитів вразливі місця

Існує кілька кроків, які можна вжити для захисту від атак контрабанди HTTP-запитів:

1. Перевірка користувальницьких даних, що вводяться: всі дані, що вводяться, повинні бути перевірені на утримання і довжину, щоб гарантувати, що шкідливі запити не можуть бути незаконно пройняті в систему.

2. Використовуйте брандмауер веб-додатків (WAF): WAF - це важливий рівень безпеки, який може виявляти і блокувати шкідливі HTTP-запити. Деякі WAF мають спеціальні правила для запобігання атак з контрабандою HTTP-запитів.

3. Вбудуйте належну обробку помилок: переконайтеся, що ваш веб-додаток може правильно обробляти помилки, щоб воно могло відповідати на будь-які шкідливі запити контрольованим чином.

4. Регулярно оновлюйте програмне забезпечення: оновлюйте своє програмне забезпечення і бібліотеки, щоб переконатися, що всі уразливості виправлені.

5. Моніторинг мережевого трафіку: регулярно відстежуйте мережевий трафік, щоб виявити будь-які підозрілі запити, які можуть вказувати на атаку з використанням контрабанди HTTP-запитів.

6. Використовуйте системи виявлення вторгнень (IDS): системи IDS можуть виявляти та попереджати про будь шкідливої мережевої активності, що може допомогти у виявленні і реагування на атаки, пов'язані з контрабандою HTTP-запитів.

7. Навчіть співробітників: переконайтеся, що ваші співробітники інформовані про небезпеку атак з використанням контрабанди HTTP-запитів і про те, як їх ідентифікувати. Регулярне навчання безпеки може допомогти звести до мінімуму ризик цих атак.

8. Регулярно проводите аудити безпеки: Регулярні аудити безпеки можуть виявити будь-які уразливості в ваших системах, що може допомогти в їх випереджувальному усунення перш ніж вони зможуть бути використані зловмисниками.

Реалізуючи ці кроки, організації можуть значно знизити ризик атаки з використанням контрабанди HTTP-запитів і підвищити загальну безпеку своїх систем.

Висновок

Контрабанда HTTP-запитів - це тип уразливості веб-додатки, яка використовує спосіб обробки запитів HTTP серверами і проміжними пристроями, такими як зворотні проксі, балансировщики навантаження і їх сервери. Зловмисники можуть маніпулювати вмістом і форматом HTTP-запитів, щоб обійти фільтри безпеки, маніпулювати передбачуваної метою або втручатися в очікуваний відповідь від сервера.

Інші Послуги

Готові до безпеки?

зв'язатися з нами