- 19,632
- 44
- 8 Ноя 2022
Почему даже 6 лет спустя уязвимость в протоколе всё ещё доступна для эксплуатации?
Шесть лет назад специалисты PortSwigger Для просмотра ссылки Войдиили Зарегистрируйся фундаментальную уязвимость в протоколе HTTP/1.1, связанную с атаками на рассинхронизацию HTTP-запросов (HTTP Request Smuggling). Несмотря на то, что об этой проблеме известно с 2019 года, она до сих пор остаётся неустранённой и продолжает представлять угрозу: злоумышленники могут подменять или внедрять запросы на уровне инфраструктуры, получая доступ к данным и контролю над веб-приложениями.
Опасность этой дыры заключается в фундаментальной проблеме протокола HTTP/1.1 — его архитектура допускает неоднозначность в границах между последовательными запросами. Этим и пользуются атакующие, создавая ситуации, при которых сервер и прокси по-разному интерпретируют полученные данные. На практике это означает, что вредоносный запрос может «спрятаться» внутри легального, пройти проверку безопасности и вызвать выполнение действий, предусмотренных злоумышленником. Подобные атаки особенно эффективны при работе через CDN-сети и обратные прокси, где разница в логике обработки особенно велика.
PortSwigger подчёркивает, что несмотря на масштабные усилия по защите, которые начались ещё в 2019 году после первого раскрытия уязвимости, проблема остаётся актуальной. За шесть лет были внедрены десятки различных мер защиты, но ни одна из них не смогла полностью исключить возможность обхода. Последняя серия тестов показала, что даже крупные CDN-провайдеры до сих пор допускают рассинхронизацию при использовании HTTP/1.1 между прокси и исходным сервером.
Особенно тревожит то, что даже переход на Для просмотра ссылки Войдиили Зарегистрируйся — более современную версию протокола, в которой устранена основная неоднозначность в структуре запросов — часто оказывается половинчатым. Многие компании включают HTTP/2 лишь на уровне edge-серверов, оставляя HTTP/1.1 в качестве канала связи между прокси и сервером, где и остаётся точка входа для атак. Именно в этой зоне и сосредоточен основной риск.
В ответ на продолжающееся игнорирование проблемы, исследователи из PortSwigger запустили инициативу с жёстким названием Для просмотра ссылки Войдиили Зарегистрируйся в которой призывает к безоговорочному отказу от устаревшего протокола. Авторы подчёркивают, что при сохранении HTTP/1.1 в любой части инфраструктуры сохраняется и риск полной компрометации приложений.
Рекомендации включают не только обязательное включение поддержки HTTP/2 на всех уровнях, включая внутренние соединения, но и активацию механизмов валидации и нормализации запросов на стороне клиента, а также отключение повторного использования соединений между компонентами инфраструктуры. В случаях, где полный переход невозможен, разработчикам советуют регулярно сканировать свои системы с помощью открытых инструментов HTTP Request Smuggler версии 3.0 и HTTP Hacker, созданных для выявления подобных проблем.
Исследование вновь ставит под сомнение устойчивость текущего веб-ландшафта, в котором миллионы сайтов — от блогов до инфраструктуры Fortune 500 — продолжают использовать небезопасный протокол. И хотя HTTP/2 и HTTP/3 предлагают надёжную альтернативу, медлительность миграции делает Для просмотра ссылки Войдиили Зарегистрируйся потенциальной катастрофой.
Шесть лет назад специалисты PortSwigger Для просмотра ссылки Войди
Опасность этой дыры заключается в фундаментальной проблеме протокола HTTP/1.1 — его архитектура допускает неоднозначность в границах между последовательными запросами. Этим и пользуются атакующие, создавая ситуации, при которых сервер и прокси по-разному интерпретируют полученные данные. На практике это означает, что вредоносный запрос может «спрятаться» внутри легального, пройти проверку безопасности и вызвать выполнение действий, предусмотренных злоумышленником. Подобные атаки особенно эффективны при работе через CDN-сети и обратные прокси, где разница в логике обработки особенно велика.
PortSwigger подчёркивает, что несмотря на масштабные усилия по защите, которые начались ещё в 2019 году после первого раскрытия уязвимости, проблема остаётся актуальной. За шесть лет были внедрены десятки различных мер защиты, но ни одна из них не смогла полностью исключить возможность обхода. Последняя серия тестов показала, что даже крупные CDN-провайдеры до сих пор допускают рассинхронизацию при использовании HTTP/1.1 между прокси и исходным сервером.
Особенно тревожит то, что даже переход на Для просмотра ссылки Войди
В ответ на продолжающееся игнорирование проблемы, исследователи из PortSwigger запустили инициативу с жёстким названием Для просмотра ссылки Войди
Рекомендации включают не только обязательное включение поддержки HTTP/2 на всех уровнях, включая внутренние соединения, но и активацию механизмов валидации и нормализации запросов на стороне клиента, а также отключение повторного использования соединений между компонентами инфраструктуры. В случаях, где полный переход невозможен, разработчикам советуют регулярно сканировать свои системы с помощью открытых инструментов HTTP Request Smuggler версии 3.0 и HTTP Hacker, созданных для выявления подобных проблем.
Исследование вновь ставит под сомнение устойчивость текущего веб-ландшафта, в котором миллионы сайтов — от блогов до инфраструктуры Fortune 500 — продолжают использовать небезопасный протокол. И хотя HTTP/2 и HTTP/3 предлагают надёжную альтернативу, медлительность миграции делает Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
