¿Por qué debería importarme el contrabando de solicitudes HTTP?



Pregunta: ¿Qué es el contrabando de solicitudes HTTP, cuáles son los riesgos y cómo afecta la configuración del servidor a la gravedad?

Asaf Karas, director de tecnología de JFrog Protection: El contrabando de solicitudes HTTP es un tipo de vulnerabilidad que ha ganado la atención de la comunidad debido a numerosos informes de recompensas de errores muy bien pagados en los últimos meses. El contrabando de solicitudes HTTP no solo está ganando terreno, sino que su impacto puede ser perjudicial dependiendo de cómo estén configurados los servidores detrás del proxy. Los actores de amenazas utilizan esta técnica para interferir con la forma en que un sitio website procesa una secuencia de solicitudes HTTP, aprovechando cualquier inconsistencia.

El ataque funciona cuando se envían varias solicitudes al servidor again-conclude desde el servidor front-finish, que luego no se pone de acuerdo sobre dónde termina cada mensaje. Esto permite al atacante insertar un mensaje ambiguo que el servidor back-stop interpreta como dos solicitudes HTTP separadas.

Una vez que un actor de amenazas pasa por alto los controles de seguridad iniciales, puede causar todo tipo de estragos. Las vulnerabilidades de contrabando pueden permitir a un atacante obtener acceso a recursos prohibidos como la administración del sitio, secuestrar las sesiones net de un usuario y ver datos confidenciales. También abre la puerta a otros ataques, incluido el cross-web page scripting (XSS) sin interacción del usuario, el envenenamiento de la caché, la omisión de las protecciones del firewall y el secuestro de credenciales. Durante un ataque de envenenamiento de caché, el actor malintencionado se dirige al servidor de caché y presenta al usuario la página incorrecta cuando lo solicita.

Los sitios world wide web que no incluyen equilibradores de carga, redes de entrega de contenido (CDN) y proxies inversos suelen estar a salvo del contrabando de solicitudes HTTP. Las variantes de este tipo de vulnerabilidad se pueden resolver fácilmente si el entrance-conclude del sitio world wide web está configurado para utilizar exclusivamente HTTP / 2 para comunicarse con los servidores again-conclude.

Alternativamente, si la reutilización de la conexión de back-conclude está completamente deshabilitada, esta vulnerabilidad no representa una amenaza. Cualquier CDN que no quiera exponer a sus clientes a este tipo de amenaza también puede configurar el servidor entrance-end para normalizar las solicitudes ambiguas antes de reenviarlas al again-close. En última instancia, asegúrese de que los puntos finales world-wide-web administrativos y los materiales confidenciales estén protegidos mediante mecanismos de autenticación sólidos, en lugar de reglas simples de lista de management de acceso (ACL) en un servidor de seguridad o proxy externo.

Además, el tráfico HTTP registrado siempre debe estar disponible solo para los usuarios administrativos, independientemente de qué parte de la solicitud HTTP se registre, para evitar exponer partes no deseadas de una solicitud HTTP a posibles atacantes.



Enlace a la noticia authentic