Love Andren, mlađi revizor za sigurnost aplikacija u Outpost24, razgovarao je s IT Security Guruom o novim prijetnjama krijumčarenja HTTP zahtjeva i vraćanja na nižu verziju HTTP/2, bacajući svjetlo na potencijalne posljedice i strategije ublažavanja.
Krijumčarenje HTTP zahtjeva je ranjivost koju kibernetički kriminalci mogu iskoristiti zbog toga što web poslužitelj dopušta dvije odvojene metode za izračunavanje duljine tijela, Transfer-Encoding i Content-Length. Love je objasnio da ako se obje metode pošalju u jednom zahtjevu, to bi moglo uzrokovati da front-end ili back-end poslužitelj pogrešno protumače zahtjev, što dovodi do desinhronizacije u back-end poslužitelju. Ova desinkronizacija omogućuje napadaču da prokrijumčari drugi HTTP zahtjev unutar prvog, što predstavlja značajan sigurnosni rizik. Utjecaj ovog iskorištavanja kreće se od otmice sesija do zaobilaženja kontrole pristupa, pa čak i omogućavanja napada Cross-Site Scripting.
S druge strane, Love je raspravljao o problemu vraćanja na stariju verziju HTTP/2, gdje naslijeđeni pozadinski poslužitelji isključivo koriste HTTP/1. To može rezultirati problemima kada front-end poslužitelj prihvati zaglavlja koja ne bi trebao, navodeći duljinu zahtjeva. To može dovesti do scenarija u kojima HTTP/2 zahtjev s tijelom koje sadrži drugi zahtjev, ali s navedenom duljinom tijela "0", može uzrokovati da ga prednji poslužitelj vidi kao dva odvojena zahtjeva prilikom pretvorbe u HTTP/1.1, čime se ponovno uvodi krijumčarenje zahtjeva u HTTP/2 scenarijima.
Obje ove ranjivosti mogu imati katastrofalne implikacije za web aplikaciju ako se uspješno iskoriste. Love je naglasio potrebu da organizacije i sigurnosni timovi budu svjesni ovih prijetnji i potencijalnog utjecaja koji mogu imati. Također je istaknuo složenost exploit-a, napominjući da bi ga se moglo zanemariti u korist uobičajenijih i lakših exploit-a poput XSS-a ili problema s autorizacijom.
Na pitanje o budućoj važnosti ovih prijetnji, Love je izrazio nesigurnost, ali je naglasio važnost da se sigurnosni inženjeri i etički hakeri bolje upoznaju s ovim složenim iskorištavanjima kako bi ublažili potencijalne napade i u konačnici donijeli vrijednost svojim klijentima.
Što se tiče strategija ublažavanja, Love je naglasio potrebu za konfiguriranjem prednjih i pozadinskih poslužitelja za korištenje istog zaglavlja za određivanje duljine u krijumčarenju zahtjeva temeljenom na HTTP/1. Osim toga, važni su koraci blokiranje dvosmislenih zahtjeva i uvijek provjeravanje tijela zahtjeva, bez obzira na navedenu duljinu. Za krijumčarenje zahtjeva koje uvodi HTTP/2, preporučuje se omogućavanje HTTP/2 komunikacije s kraja na kraj i blokiranje zahtjeva koji sadrže HTTP/1 zaglavlja koja specificiraju veličinu tijela. Love je također istaknuo važnost blokiranja drugih tehnika koje se koriste u napadima krijumčarenja zahtjeva, kao što je ubacivanje CRLF sekvenci.
Zaključno, razumijevanje ovih ranjivosti i provedba učinkovitih strategija ublažavanja je ključno za organizacije kako bi zaštitile svoje web aplikacije od potencijalnog iskorištavanja i povezanih rizika. Uz vodstvo i stručnost profesionalaca kao što je Love Andren, sigurnosni timovi mogu biti ispred prijetnji u nastajanju i učinkovito zaštititi svoju digitalnu imovinu.
Croatian 
English 
Albanian 
Serbian 