协议层的攻击:HTTP请求走私

最新推荐文章于 2024-06-21 13:46:14 发布
最新推荐文章于 2024-06-21 13:46:14 发布
阅读量7.5k 收藏 13
点赞数 7
分类专栏: 晓得哥的技术之路 文章标签: 协议层 HTTP 前端服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/102503140
版权
HTTP请求走私是一种利用不同服务器对HTTP协议实现差异的攻击方式,它可能导致请求混淆,进而影响用户数据安全。文章详细介绍了HTTP走私攻击的发展时间线、产生原因及多种攻击实例,包括CL不为0的GET请求、CL-CL、CL-TE、TE-CL和TE-TE等。通过具体的漏洞CVE-2018-8004,展示了如何利用HTTP走私攻击进行会话劫持和缓存中毒。防御此类攻击需要服务器严格遵循HTTP协议标准,并考虑禁用TCP连接重用等策略。
摘要由CSDN通过智能技术生成

作者:mengchen@知道创宇404实验室

日期:2019年10月10日

原文链接https://paper.seebug.org/1048/

1. 前言

最近在学习研究BlackHat的议题,其中有一篇议题——"HTTP Desync Attacks: Smashing into the Cell Next Door"引起了我极大地兴趣,在其中,作者讲述了HTTP走私攻击这一攻击手段,并且分享了他的一些攻击案例。我之前从未听说过这一攻击方式,决定对这一攻击方式进行一个完整的学习梳理,于是就有了这一篇文章。

当然了,作为这一攻击方式的初学者,难免会有一些错误,还请诸位斧正。

2. 发展时间线

最早在2005年,由Chaim Linhart,Amit Klein,Ronen Heled和Steve Orrin共同完成了一篇关于HTTP Request Smuggling这一攻击方式的报告。通过对整个RFC文档的分析以及丰富的实例,证明了这一攻击方式的危害性。

https://www.cgisecurity.com/lib/HTTP-Request-Smuggling.pdf

在2016年的DEFCON 24 上,@regilero在他的议题——Hiding Wookiees in HTTP中对前面报告中的攻击方式进行了丰富和扩充。

https://media.defcon.org/DEF%20CON%2024/DEF%20CON%2024%20presentations/DEF%20CON%2024%20-%20Regilero-Hiding-Wookiees-In-Http.pdf

在2019年的BlackHat USA 2019上,PortSwigger的James Kettle在他的议题——HTTP Desync Attacks: Smashing into the Cell Next Door中针对当前的网络环境,展示了使用分块编码来进行攻击的攻击方式,扩展了攻击面,并且提出了完整的一套检测利用流程。

https://www.blackhat.com/us-19/briefings/schedule/#http-desync-attacks-smashing-into-the-cell-next-door-15153

3. 产生原因

HTTP请求走私这一攻击方式很特殊,它不像其他的Web攻击方式那样比较直观,它更多的是在复杂网络环境下,不同的服务器对RFC标准实现的方式不同,程度不同。这样一来,对同一个HTTP请求,不同的服务器可能会产生不同的处理结果,这样就产生了了安全风险。

在进行后续的学习研究前,我们先来认识一下如今使用最为广泛的HTTP 1.1的协议特性——Keep-Alive&Pipeline

HTTP1.0之前的协议设计中,客户端每进行一次HTTP请求,就需要同服务器建立一个TCP链接。而现代的Web网站页面是由多种资源组成的,我们要获取一个网页的内容,不仅要请求HTML文档,还有JS、CSS、图片等各种各样的资源,这样如果按照之前的协议设计,就会导致HTTP服务器的负载开销增大。于是在HTTP1.1中,增加了Keep-AlivePipeline这两个特性。

所谓Keep-Alive,就是在HTTP请求中增加一个特殊的请求头Connection: Keep-Alive,告诉服务器,接收完这次HTTP请求后,不要关闭TCP链接,后面对相同目标服务器的HTTP请求,重用这一个TCP链接,这样只需要进行一次TCP握手的过程,可以减少服务器的开销,节约资源,还能加快访问速度。当然,这个特性在HTTP1.1中是默认开启的。

有了Keep-Alive之后,后续就有了Pipeline,在这里呢,客户端可以像流水线一样发送自己的HTTP请求,而不需要等待服务器的响应,服务器那边接收到请求后,需要遵循先入先出机制,将请求和响应严格对应起来,再将响应发送给客户端。

现如今,浏览器默认是不启用Pipeline的,但是一般的服务器都提供了对Pipleline的支持。

为了提升用户的浏览速度,提高使用体验,减轻服务器的负担,很多网站都用上了CDN加速服务,最简单的加速服务,就是在源站的前面加上一个具有缓存功能的反向代理服务器,用户在请求某些静态资源时,直接从代理服务器中就可以获取到,不用再从源站所在服务器获取。这就有了一个很典型的拓扑结构。

01.png

一般来说,反向代理服务器与后端的源站服务器之间,会重用TCP链接。这也很容易理解,用户的分布范围是十分广泛,建立连接的时间也是不确定的,这样TCP链接就很难重用,而代理服务器与后端的源站服务器的IP地址是相对固定,不同用户的请求通过代理服务器与源站服务器建立链接,这两者之间的TCP链接进行重用,也就顺理成章了。

当我们向代理服务器发送一个比较模糊的HTTP请求时,由于两者服务器的实现方式不同,可能代理服务器认为这是一个HTTP请求,然后将其转发给了后端的源站服务器,但源站服务器经过解析处理后,只认为其中的一部分为正常请求,剩下的那一部分,就算是走私的请求,当该部分对正常用户的请求造成了影响之后,就实现了HTTP走私攻击。

3.1 CL不为0的GET请求

其实在这里,影响到的并不仅仅是GET请求,所有不携带请求体的HTTP请求都有可能受此影响,只因为GET比较典型,我们把它作为一个例子。

RFC2616中,没有对GET请求像POST请求那样携带请求体做出规定,在最新的RFC7231的4.3.1节中也仅仅提了一句。

https://tools.ietf.org/html/rfc7231#section-4.3.1

sending a payload body on a GET request might cause some existing implementations to reject the request

假设前端代理服务器允许GET请求携带请求体,而后端服务器不允许GET请求携带请求体,它会直接忽略掉GET请求中的Content-Length头,不进行处理。这就有可能导致请求走私。

比如我们构造请求

GET / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length: 44\r\n

GET / secret HTTP/1.1\r\n
Host: example.com\r\n
\r\n

前端服务器收到该请求,通过读取Content-Length,判断这是一个完整的请求,然后转发给后端服务器,而后端服务器收到后,因为它不对Content-Length进行处理,由于Pipeline的存在,它就认为这是收到了两个请求,分别是

第一个
GET / HTTP/1.1\r\n
Host: example.com\r\n

第二个
GET / secret HTTP/1.1\r\n
Host: example.com\r\n

这就导致了请求走私。在本文的4.3.1小节有一个类似于这一攻击方式的实例,推荐结合起来看下。

3.2 CL-CL

RFC7230的第3.3.3节中的第四条中,规定当服务器收到的请求中包含两个Content-Length,而且两者的值不同时,需要返回400错误。

https://tools.ietf.org/html/rfc7230#section-3.3.3

但是总有服务器不会严格的实现该规范,假设中间的代理服务器和后端的源站服务器在收到类似的请求时,都不会返回400错误,但是中间代理服务器按照第一个Content-Length的值对请求进行处理,而后端源站服务器按照第二个Content-Length的值进行处理。

此时恶意攻击者可以构造一个特殊的请求

POST / HTTP/1.1\r\n
Host: example.com\r\n
Content-Length: 8\r\n
Content-Length: 7\r\n

12345\r\n
a

中间代理服务器获取到的数据包的长度为8,将上述整个数据包原封不动的转发给后端的源站服务器,而后端服务器获取到的数据包长度为7。当读取完前7个字符后,后端服务器认为已经读取完毕,然后生成对应的响应,发送出去。而此时的缓冲区去还剩余一个字母a,对于后端服务器来说,这个a是下一个请求的一部分,但是还没有传输完毕。此时恰巧有一个其他的正常用户对服务器进行了请求,假设请求如图所示。

GET /index.html HTTP/1.1\r\n
Host: example.com\r\n

从前面我们也知道了,代理服务器与源站服务器之间一般会重用TCP连接。

这时候正常用户的请求就拼接到了字母a的后面,当后端服务器接收完毕后,它实际处理的请求其实是

aGET /index.html HTTP/1.1\r\n
Host: example.com\r\n

这时候用户就会收到一个类似于aGET request method not found的报错。这样就实现了一次HTTP走私攻击,而且还对正常用户的行为造成了影响,而且后续可以扩展成类似于CSRF的攻击方式。

但是两个Content-Length这种请求包还是太过于理想化了,一般的服务器都不会接受这种存在两个请求头的请求包。但是在RFC2616的第4.4节中,规定:如果收到同时存在Content-Length和Transfer-Encoding这两个请求头的请求包时,在处理的时候必须忽略Content-Length,这其实也就意味着请求包中同时包含这两个请求头并不算违规,服务器也不需要返回400错误。服务器在这里的实现更容易出问题。

https://tools.ietf.org/html/rfc2616#section-4.4

3.3 CL-TE

所谓CL-TE,就是当收到存在两个请求头的请求包时,前端代理服务器只处理Content-Length这一请求头,而后端服务器会遵守RFC2616的规定,忽略掉Content-Length,处理Transfer-Encoding这一请求头。

chunk传输数据格式如下,其中size的值由16进制表示。

[chunk size][\r\n][chunk data][\r\n][chunk size][\r\n][chunk data][\r\n][chunk size = 0][\r\n][\r\n]

Lab 地址:https://portswigger.net/web-security/request-smuggling/lab-basic-cl-te

构造数据包

POST / HTTP/1.1\r\n
Host: ace01fcf1fd05faf80c21f8b00ea006b.web-security-academy.net\r\n
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:56.0) Gecko/20100101 Firefox/56.0\r\n
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8\r\n
Accept-Language: en-US,en;q=0.5\r\n
Cookie: session=E9m1pnYfbvtMyEnTYSe5eijPDC04EVm3\r\n
Connection: keep-alive\r\n
Content-Length: 6\r\n
Transfer-Encoding: chunked\r\n
\r\n
0\r\n
\r\n
G

连续发送几次请求就可以获得该响应。

02.png

由于前端服务器处理Content-Length,所以这个请求对于它来说是一个完整的请求,请求体的长度为6,也就是

0\r\n
\r\n
G

当请求包经过代理服务器转发给后端服务器时,后端服务器处理Transfer-Encoding,当它读取到0\r\n\r\n时,认为已经读取到

最低0.47元/天 解锁文章
晓得哥
关注
  • 7
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
从一道题深入HTTP协议HTTP请求走私
Lemon's blog
02-03 1547
前言: 最近参加了一次线上赛,发现其中有一道web题蛮有意思,之前是一道国赛题的,这次是加了点WAF,但当时没有仔细学习过HTTP协议HTTP走私协议,所以也就没有绕过WAF,这次就来弥补这个遗憾 HTTP/1.1协议 定义: HTTP(超文本传输协议):一种无状态的、应用层的、以请求/应答方式运行的协议,它使用可扩展的语义和自描述消息格式,与基于网络的超文本信息系统灵活的互动 HTTP协议工作...
http-request-smuggling:HTTP请求走私检测工具
05-04
HTTP请求走私检测工具HTTP请求走私是一种高度严重...并且通过遵循HRS漏洞检测技术,该工具具有内置的有效负载,该负载具有大约37个排列的CL.TE和TE.CL及其对于每个给定的主机,将使用这些有效负载来生成攻击请求对象,
通过一道CTF学习HTTP协议请求走私
笑花大王
02-21 650
HTTP请求走私 HTTP请求走私 HTTP请求走私是针对于服务端处理一个或者多个接收http请求序列的方式,进行绕过安全机制,实施未授权访问一种攻击手段,获取敏感信息,并直接危害其他用户。 请求走私大多发生于前端服务器和后端服务器对客户端传入的数据理解不一致的情况。这是因为HTTP规范提供了两种不同的方法来指定请求的结束位置,即Content-Length和Transfer-En...
每日漏洞系列(十三):详解HTTP请求走私
最新发布
CTZL123456的博客
06-21 1036
希望这篇文章能帮你更好地理解HTTP请求走私攻击及其防御方法。如果你有任何问题,欢迎在评论区讨论。
HTTP走私攻击
Holl0w_By的博客
02-22 385
HTTP走私攻击——协议层的攻击: 记录这种攻击方式主要是因为打了一次Hgame2021年的CTF比赛,然后发现自己是个菜鸡的事实。 学习主要是来自于这篇博客:https://paper.seebug.org/1048/ 这位师傅的博客全是干货,记得非常详尽。 还有这一篇博客:https://www.cnblogs.com/PixelOrange/p/13445275.html 大佬对走私攻击的解析非常到位。 HTTP走私攻击是如何实现的: 1、HTTP走私攻击实现的根本原因是服务器对于不同的RFC的对应
HTTP请求走私详解
baynk的博客
04-04 1539
HTTP请求走私详解 导语:HTTP请求走私是一种干扰网站处理HTTP请求序列方式的技术,使攻击者可以绕过安全控制,未经授权访问敏感数据并直接危害其他应用程序用户。 HTTP请求走私是一种干扰网站处理HTTP请求序列方式的技术,使攻击者可以绕过安全控制,未经授权访问敏感数据并直接危害...
http请求走私详解
01-10 3021
HTTP请求走私是一种干扰网站正常处理从一个或多个用户收到的HTTP请求的方法,请求走私漏洞在本质上通常很关键,允许攻击者绕过安全控制,获得对敏感数据的未授权访问,并直接危害其他应用程序的用户。随便提一句:本文的环境为网站https://portswigger.net/提供的在线环境。现在的网络架构,一般后端真实响应的服务器前端还有存在一个反向代理或者负载均衡的服务器,例如常见的Nginx + tomcat的响应方式。
HTTP-Smuggling-Lab:使用HTTP走私实验室学习HTTP走私
05-22
HTTP-Smuggling-Lab是用于学习有关HTTP请求走私的实验室。 安装 使用docker-compose在每个目录中构建实验室。 用法 在每个目录中详细阅读README.md。 在Lab1中,我们将链接一些反向代理关系,Nginx将是最终的后端,...
http-desync-guardian:分析HTTP请求以最大程度地减少HTTP异步攻击的风险(HTTP请求走私拆分的前身)
03-21
http_desync_guardian库旨在分析HTTP请求,以防止HTTP Desync攻击,从而平衡安全性和可用性。它将请求分为不同并提供有关如何处理每个层级的建议。 它既可以用于原始HTTP请求标头,也可以由HTTP引擎解析。消费者...
h2csmuggler:通过HTTP2明文(h2c)的HTTP请求走私
03-18
h2c走私者 描述 通过与兼容h2c的后端服务器建立HTTP / 2明文(h2c)通信,h2cSmuggler通过不安全的边缘服务器proxy_pass配置走私HTTP流量,从而允许绕过代理规则和访问控制。 请参阅以下我的详细文章: 漏洞的技术...
Smuggler-用Python 3编写的HTTP请求走私/不同步测试工具-Python开发
05-25
Smuggler-使用Python 3 ______ _ / _____编写的HTTP请求走私/取消同步测试工具)| | (((____ ____ _ _ ____ ____ | | _____ ____ \ ____ \ | \ | | | | / _ | / _ | || ___ | / ___)_____))|( | | | _ | (...
http请求走私原理
weixin_44843084的博客
06-21 438
https://www.cnblogs.com/sijidou/p/13121343.html https://portswigger.net/web-security/request-smuggling HTTP 请求请求体有2种判定方式 利用Content-Length字段来判定请求体的内容长度 利用Transfer-Encoding字段来判定请求体的结束位置 Content-Length ​ 正常post请求,会带上请求体(body),请求体有多长,Content-Length的值就是多少 T
XXL-JOB漏洞解决,Eclipse Jetty HTTP请求走私漏洞
悟●禅●酒的专栏
05-29 2896
可能我使用的xxl-job版本比较老,今天安全组检查,查出来一堆堆,分享下:
HTTP 请求走私漏洞(HTTP Request Smuggling)
weixin_42451330的博客
07-18 4232
HTTP请求走私漏洞(HTTP Request Smuggling)是一种安全漏洞,利用了HTTP协议请求和响应的解析和处理方式的不一致性。攻击者通过构造特定的恶意请求,以欺骗服务器和代理服务器,从而绕过安全机制,执行未经授权的操作。HTTP请求走私漏洞通常涉及两个或多个HTTP请求的组合,攻击者可以利用HTTP报文中的头部或其他元数据来混淆和欺骗服务器或代理服务器的解析逻辑。
GeoServer 2.11.1升级解决Eclipse Jetty 的一系列安全漏洞问题
diaya的专栏
02-06 1993
下载 Geoserver2.32.4,先装了JDK17,再装了GeoServer2.23.4。网址访问一切正常,建了工作空间,在存储仓库里选 shapefile新建时,点“浏览”,竟无法弹出选文件的窗口,查看调用显示下错。接到安全评估报告,发现上面一堆关于Jetty的安全问题,后得知,是GeoServer2.11.1中用的jetty版本太低导致。Eclipse Jetty HTTP请求走私漏洞(CVE-2017-7658)2、先卸载原有的geoserver2.11.1,再卸载其配套的jre 8。
Eclipse Jetty server漏洞解决
qq_42222680的博客
02-10 7377
Eclipse Jetty 服务器伪路径请求绕过漏洞(Linux)
Jetty
06-21 218
简介 Jetty 是一个开源的servlet容器,它是基于Java的web容器,是轻量级的应用级别服务器,例如JSP和servlet提供运行环境。Jetty是使用Java语言编写的,它的API以一组JAR包的形式发布。开发人员可以将Jetty容器实例化成一个对象,可以迅速为一些独立运行(stand-alone)的Java应用提供网络和web连接。Jetty特别时候开发人员做单元测试的时候使用,配置上跟tomcat服务器差不多。 为Intellij配置jetty Server 点击file->set
dango 500
dqchouyang的专栏
11-10 210
浏览器: http://localhost:8080/admin/ 服务后台: GET /admin/ HTTP/1.1" 500 27 错误原因待查
比武中一段php代码的含义: Env::get() 方法
ren_fkai的博客
04-09 252
这段 PHP 代码是在配置数据库连接信息。它使用了 Env::get() 方法来获取环境变量中的值,如果没有找到对应的环境变量,则使用默认值。这样的配置方式可以使得在不同环境下(比如开发环境、测试环境、生产环境)使用不同的数据库连接信息,而不需要修改代码,只需设置相应的环境变量即可。值得注意的是他读取的是.env配置文件的值,如果没有找到对应的环境变量,就是用默认的值。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值