浅析HTTP走私攻击

于 2021-03-24 18:21:32 发布
阅读量492 收藏 1
点赞数
文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jeeseen123/article/details/115183824
版权

如今攻击手段日益层出不穷,令企业防不胜防,因此企业不能再以原有的防守思维去防守。基于攻击者的视角,了解攻击者的攻击手法才能更好地做好防守。本次介绍的是攻击者常用的一种攻击手法“HTTP请求走私”,它可以使攻击者能够绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。本文由锦行科技的安全研究团队提供,旨在通过剖析“HTTP请求走私”的攻击过程,帮助企业进一步了解攻击者的攻击思路,做好应对策略。

什么是HTTP请求走私?

在复杂的网络环境下,不同的服务器以不同的方式实现RFC标准,利用前后端服务器对数据包的边界了解不一致,向一个请求数据包中插入下一个请求数据包的一部分,从前端服务器角度看来,它属于一个完整的请求,而在后端服务器看来,它属于两次请求,前端请求的一部分被后端服务器解释为下一个请求的开始。因此,它使攻击者可以绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。
在这里插入图片描述

产生的原因

在HTTP1.1后,增加了一个特殊的请求头Connection: Keep-Alive,建立tcp持续通道,进行一次tcp握手,就能传送多个请求。但这样只能是请求一次响应一次。为了提高数据传输的效率,减少阻塞。后来就有了HTTP Pipelining(管线化)字段,它是将多个http请求批量提交,而不用等收到响应再提交的异步技术。如下图就是使用Pipelining和非Pipelining

在这里插入图片描述
这意味着前端与后端必须短时间内对每个数据包的边界大小达成一致,否则,攻击者就可以构造发送一个特殊的数据包,在前端看来它是一个请求,但在后端却被解释为了两个不同的HTTP请求。这就导致攻击者可以在下一个用户发送的合法数据包前恶意添加内容。如图,走私的内容(“前缀”),以橙色突出显示:

在这里插入图片描述

假设前端考虑的是内容长度头部(Content-Length)值作为数据包结束的边界,后端优先考虑的是Transfer-Encoding头部。那么从后端角度看,如下图蓝色部份字体属于一个数据包,而红色部份字体属于下一个数据包的开始部份。这样就成功从前端“走私”了一个数据包。

在这里插入图片描述

攻击类别

01 CL不为0的GET请求
假设前端代理服务器允许GET请求携带请求体,而后端服务器不允许GET请求携带请求体,它会直接忽略掉GET请求中的Content-Length头,不进行处理。这就有可能导致请求走私。

比如发送下面请求:

GET / HTTP/1.1
Host:example.com
Content-Length:44
GET /socket HTTP/1.1
Host: example.com

前端服务器通过读取Content-Length,确认这是个完整的请求,然后转发到后端服务器,而后端服务器因为不对Content-Length进行判断,由于Pipeline的存在,它认为这是两个请求,分别为:
第一个
GET / HTTP/1.1
Host: example.com
第二个
GET /socket HTTP/1.1
Host: example.com
则相当于走私了请求。

02 CL-CL
在RFC7230规范中,规定当服务器收到的请求中包含两个Content-Length,而且两者的值不同时ÿ

最低0.47元/天 解锁文章
Jeeseen123
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
Java代审:Maven基础知识
12-23 268
前言Maven 是一个项目构建和管理工具,利用它可以对 JAVA 项目进行构建和依赖管理。Maven 采用项目对象模型 POM(Project Object Model)来管理项目。Maven 的主要工作就是用来解析一些 XML 文档、管理生命周期与插件。Maven 被设计成将主要的职责委派给一组 Maven 插件,这些插件可以影响 Maven 生命周期,提供对目标的访问。0x01 Maven环境配置JDK安装以及系统要求Maven 是一个基于 Java 的工具,所以要做的第一件事情就是安装
博客
技术分享 | DLL注入之远线程注入
10-13 340
0x00 远线程注入远线程注入是指一个进程在另一个进程中创建线程的技术。0x01 函数介绍OpenProcess作用: 打开现有的本地进程对象。函数声明:HANDLE WINAPI OpenProcess( _In_ DWORD dwDesiredAccess, _In_ BOOL bInheritHandle, _In_ DWORD dwProcessId)参数:dwDesiredAccess:想拥有该进程的访问权限,若进程启动了SeDebugPrivile
博客
DLL注入之全局钩子注入
09-08 481
DLL注入之全局钩子注入0x00 HOOK概述Hook也就是钩子,在Windows中大部分的应用程序都是基于消息机制,会根据不同的消息使用消息过程函数完成不同的功能。而钩子是一种消息处理机制,它可以比你的应用程序先获得消息,可以用来截获、监视系统的消息,改变执行流程实现特定的功能。对于全局钩子来说,它会影响所有应用程序,所以钩子函数必须在DLL中实现。0x01 函数介绍SetWindowsHookEx作用:将程序定义的钩子函数安装到挂钩链中,安装钩子的程序可以监视系统是否存在某些类型的时间,这些
博客
SSH软链接后门利用和原理
08-23 1280
SSH软链接后门利用和原理本文由锦行科技的安全研究团队提供,主要介绍SSH软连接后门的利用和相关原理。00 利用前提ssh配置中开启了PAM进行身份验证查看是否使用PAM进行身份验证:cat/etc/ssh/sshd_config|grep UsePAM01 建立后门建立软连接后门:ln-sf/usr/sbin/sshd/tmp/su;/tmp/su-oPort=1234注意:软链接的路径不是绝对的,但名字不是随便命名的,使用命令find/etc/pam.d|xargs grep "pam_r
博客
利用PHAR协议进行PHP反序列化攻击
06-28 391
PHAR (“Php ARchive”) 是PHP中的打包文件,相当于Java中的JAR文件,在php5.3或者更高的版本中默认开启。PHAR文件缺省状态是只读的,当我们要创建一个Phar文件需要修改php.ini中的phar.readonly,修改为:phar.readonly = 0当通过phar://协议对phar文件进行文件操作时,将会对phar文件中的Meta-data进行反序列化操作,可能造成一些反序列化漏洞。本文由锦行科技的安全研究团队提供,从攻击者的角度展示了PHAR反序列化攻击的原理和
博客
安全技术|DNSLOG平台搭建从0到1
06-24 1575
安全技术|DNSLOG平台搭建从0到1DNSLOG是一种回显机制,常用于在某些漏洞无法回显但可以发起DNS请求的情况下,利用此方式外带数据,以解决某些漏洞由于无回显而难以利用的问题。主要利用场景有SQL盲注、无回显的命令执行、无回显的SSRF。本文介绍一种搭建DNSLOG平台的方法,旨在为渗透测试提供一些帮助。前期准备一个域名,一台vps本文使用的是:阿里云购买的域名和云服务器ECS域名:example.icuvps ip:100.100.100.100实验过程1.添加DNS解析在云解析D
博客
技术分享 | 基于windows操作系统的锦行蜜罐新节点技术
05-31 337
摘要基于诱捕节点,蜜罐可以实现攻击欺骗转移和资产隔离防护。但是现有诱捕节点的实现技术存在IP地址资源的分配和冲突的风险,日常维护要求高,需要配备专业的网管人员,增加人力成本。本文锦行科技提出了一种新的基于windows操作系统的诱捕节点实现技术,利用Libuv库以及采用多进程服务架构技术,在诱捕节点模拟主机网络服务,并通过采用linux虚拟网卡技术的中间层服务实时转发到蜜罐主机中,实现整个攻击者攻击行为的监控及告警功能,解决了现有技术中存在IP地址资源的分配和冲突的风险,增加诱捕节点密度,同时降低了部署
博客
技术分享 | Fastjson-RCE漏洞复现
05-26 467
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。影响版本Fastjson1.2.47以及之前的版本复现1.1 环境准备攻击机1用于接受反弹shell系统:Win10 x64安装nc,burpsuit
博客
勒索攻击成美国梦魇?这份防范指南请收好
05-12 295
5月9日,美国交通部发布一份“区域紧急状态声明”,美国最大燃油管道运营商Colonial Pipeline因受勒索软件攻击,被迫临时关闭其美国东部沿海各州供油的关键燃油网络。此次勒索攻击使美国三个区域受到了断油的影响,共涉及17个州。这是美国首次因网络攻击事件而进入国家紧急状态,这次事件也敲响了关键基础设施网络安全的警钟。
博客
从solar winds黑客入侵事件中看供应链安全
04-25 354
最新消息显示,美国和英国正式将俄罗斯对外情报局(SVR)认定为SolarWinds 黑客入侵事件的幕后黑手。为此,美国财政部已对俄罗斯实施全面制裁,包括制裁了六家俄方企业,并计划驱逐俄罗斯驻华盛顿大使馆的 10 名官员。近年来,软件供应链攻击安全问题频频发生。调查显示,这些攻击造成的企业损失平均超过100万美元,因此,防御供应链攻击是十分必要的。现在我们来盘点下SolarWinds 供应链攻击的事件始末、影响,以及带给企业的一些思考。什么是软供应链攻击?想知道供应链攻击,就得先了解下什么是供应链。
博客
技术分享 | Git-RCE:CVE-2021-21300
04-04 1646
git多个版本中,对符号链接处理不严格。在大小写敏感(例如Linux)的文件系统上传文件到git后,使用大小写不敏感文件系统(例如Windows)的主机克隆恶意仓库时可能导致远程命令执行。本文由锦行科技的安全研究团队提供,从攻击者的角度还原了Git-RCE的渗透过程。触发条件:仓库中存在同名的链接符号和目录符号链接指向特殊目录(目前看来是.git/hooks)受害机需要有足够权限执行恶意命令01 复现01 环境准备①仓库准备:系统:ubuntux64需安装 git、git-lfs
博客
干货 | linux系统行为新型实时监控技术
03-30 311
万物互联和大数据技术的发展,让我们的生活更加活色生香,其背后离不开安全、稳定可靠的服务器系统。为了保障服务器系统资源能被用户正常使用,避免被恶意行为劫持,我们需要记录服务器系统资源的使用情况、系统行为事件信息和I/O流量等信息,为服务器系统的运维和安全保障工作提供可靠的数据支撑。这里我们主要是从系统日常行为安全的角度分享一种能满足线上部署、能够将进程或文件创建、网络连接、网络I/O、文件I/O、shell操作、数据库操作、telnet操作、http访问、系统调用(syscall)和系统资源信息等系统相关
博客
技术分享 | 域渗透AdminSDHolder
03-11 270
AdminSDHolder是一个特殊的AD容器,通常作为某些特权组成员的对象的安全模板。Active Directory将采用AdminSDHolder对象的ACL并定期将其应用于所有受保护的AD账户和组,以防止意外和无意的修改并确保对这些对象的访问是安全的。本文由锦行科技的安全研究团队提供,旨在从攻击者的视角还原AdminSDHolder的渗透过程。配置1、添加:在域控上操作AdminSDHolder对象的ACL添加用户test对AdminSDHolder的完全访问权限powerview:
博客
技术分享 | “锦行杯“比赛 Writeup
02-02 564
本期我们邀请了近期在锦行杯比赛(华农场)获得一等奖的参赛队伍XCAU战队 (不想和队友一队 战队)与我们分享了他在锦行杯比赛中的攻击思路。
博客
安全技术 | 一次众测实战sql注入绕过
12-22 1764
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。本文由锦行科技的安全研究团队提供,旨在帮助客户理解sql注入绕过的问题。测试背景在一次测试过程中,发现登陆框的用户名处存在延时注入。开启bp抓包,随便输入用户名和密码,点击登陆,抓到以下数据包经测试,Uname参数存在sql延时注入在后
博客
技术文章 | windows横向渗透中的令牌完整性限制
11-09 300
本文由锦行科技的安全研究团队提供,站在攻击者的视角分析windows内的横向移动,帮助大家深入了解横向移动的全过程以应对该种攻击。
博客
一个实验了解多层内网渗透
11-03 1590
原创:锦行安全平台部zy近年来,攻击者潜伏在企业内网进行攻击的安全事件屡见不鲜,攻击者在经常会企业的内网进行横向渗透,令防守方防不胜防。因此,我们应该严格控制好网络区域之间的访问规则,加大攻击横向渗透的阻力。本文由锦行科技的安全研究团队提供,旨在通过实验演示进一步了解攻击者是如何在多层内网进行的渗透。一、实验简介网络拓扑图渗透机:win10+kali第一层靶机 (外网web服务器): Linux第二场靶机 (内网web服务器): Linux第三层靶机 (内网办公机) : win7用三层
博客
安全技术 | 域渗透之SPN
10-19 1435
Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。在内网中,SPN扫描通过查询向域控服务器执行服务发现,可以识别正在运行重要服务的主机,如终端,交换机等。SPN的识别是Kerberoasting攻击的第一步。本文由锦行科技的安全研究团队提供,旨在通过对SPN进行介绍,帮助大家深入了解Kerberoasting攻击过程以应对该种攻击。SPNSPN(ServicePrincipal Names)服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)的唯一标识符。Kerbe

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值