Лове Андрен, млађи ревизор за безбедност апликација у Оутпост24, разговарала је са Гуруом за ИТ безбедност о новим претњама кријумчарења ХТТП захтева и ХТТП/2 довнградинга, бацајући светло на потенцијалне последице и стратегије ублажавања.

Кријумчарење ХТТП захтева је рањивост коју могу да искористе сајбер криминалци због тога што веб сервер дозвољава две одвојене методе за израчунавање дужине тела, трансфер-кодирање и дужину садржаја. Лав је објаснио да ако се обе методе пошаљу у једном захтеву, то може довести до тога да фронт-енд или бацк-енд сервер погрешно протумаче захтев, што доводи до десинхронизације на позадинском серверу. Ова десинхронизација омогућава нападачу да прокријумчари други ХТТП захтев унутар првог, што представља значајан безбедносни ризик. Утицај овог експлоатације се креће од отмице сесија до заобилажења контроле приступа, па чак и омогућавања напада на скриптовање на више локација.

С друге стране, Лове је расправљао о питању ХТТП/2 Довнградинг, где застарели бацк-енд сервери искључиво користе ХТТП/1. Ово може довести до проблема када фронт-енд сервер прихвати заглавља која не би требало, наводећи дужину захтева. Ово може довести до сценарија у којима ХТТП/2 захтев са телом који садржи други захтев, али са одређеном дужином тела од „0“, може довести до тога да га фронт-енд сервер види као два одвојена захтева приликом конверзије у ХТТП/1.1, чиме се поново уводи кријумчарење захтева у ХТТП/2 сценаријима.

Обе ове рањивости могу имати катастрофалне импликације за веб апликацију ако се успешно искористе. Лове је нагласила потребу да организације и безбедносни тимови буду свесни ових претњи и потенцијалног утицаја који они могу имати. Такође је истакао сложеност експлоатације, напомињући да се може превидети у корист чешћих и лако изводљивих експлоатација као што су КССС или проблеми са ауторизацијом.

На питање о будућој важности ових претњи, Лав је изразила несигурност, али је подвукла важност да се безбедносни инжењери и етички хакери боље упознају са овим сложеним експлоатацијама како би ублажили потенцијалне нападе и на крају донели вредност својим клијентима.

У погледу стратегија ублажавања, Лав је нагласио потребу да се конфигуришу предњи и позадински сервери да користе исто заглавље за одређивање дужине у кријумчарењу захтева заснованом на ХТТП/1. Поред тога, важни кораци су блокирање двосмислених захтева и увек провера тела захтева, без обзира на наведену дужину. За кријумчарење захтева које је увео ХТТП/2, препоручује се омогућавање енд-то-енд ХТТП/2 комуникације и блокирање захтева који садрже ХТТП/1 заглавља која наводе величину тела. Лове је такође истакла важност блокирања других техника које се користе у нападима кријумчарења захтева, као што су ињекције ЦРЛФ секвенце.

У закључку, разумевање ових рањивости и примена ефикасних стратегија ублажавања је од кључног значаја за организације да заштите своје веб апликације од потенцијалне експлоатације и повезаних ризика. Уз упутства и стручност професионалаца као што је Лове Андрен, безбедносни тимови могу да буду испред нових претњи и ефикасно обезбеде своју дигиталну имовину.

Извор линк