侵权投诉

最新研究已确定时钟针对HTTP请求走私攻击的新变种

2020-08-07 17:28 次阅读

一项新的研究确定了四种针对HTTP请求走私攻击的新变种,它们可以针对各种商用Web服务器和HTTP代理服务器。

在今天的黑帽安全会议上,SafeBreach的安全研究副总裁Amit Klein展示了这一发现,他说,这些攻击突出表明,web服务器和HTTP代理服务器容易受到HTTP请求走私攻击的影响,据记录首次发现至今已有15年的历史。

最新研究已确定时钟针对HTTP请求走私攻击的新变种

什么是HTTP请求走私?

HTTP请求走私(或HTTP异步)是一种用于干扰网站处理、从一个或多个用户接收的HTTP请求序列的方式的技术。

当前端服务器(负载平衡器或代理)和后端服务器以不同的方式处理HTTP请求的边界时,通常会出现与HTTP请求走私有关的漏洞,从而使不良行为者发送优先于下一个合法用户请求歧义请求。

不同步的请求可被利用来劫持凭据,向用户注入响应;甚至从受害者的请求中窃取数据,将信息泄露给攻击者控制的服务器。

这项技术是由Watchfire的一组研究人员于2005 年首次证明的,这些研究人员包括Klein,Chaim Linhart,Ronen Heled和Steve Orrin。

但是在过去的十几年中,在攻击面也随之进行了扩展,例如:将请求拼接成其他请求,获得对内部API的最大权限访问;污染Web缓存;破坏流行应用程序的登录页面。

什么是新的?

Klein公开的新变体涉及使用各种代理服务器组合,包括在Web服务器模式下的Aprelium的Abyss,Microsoft IIS,Apache和Tomcat,以及在HTTP代理模式下的Nginx,Squid,HAProxy,Caddy和Traefik。

所有四个新变体的列表如下,最后添加包括一个由研究人员在实验中成功利用的旧变体。

最新研究已确定时钟针对HTTP请求走私攻击的新变种

变体1:“标头SP / CR垃圾邮件:……”

变式2 –“等待”

变体3 – HTTP / 1.2绕过类似于mod_security的防御

变式4 –一个简单的解决方案

变式5 –“ CR标头”

例如,在处理包含两个Content-Length标头字段的HTTP请求时,发现Abyss接受第二个标头为有效,而Squid使用第一个Content-Length标头,从而导致两个服务器以不同的方式解释请求并实现请求走私。

在Abyss收到长度小于指定的Content-Length值的主体的HTTP请求的情况下,它将等待30秒以完成该请求,但不会忽略该请求的其余主体。

Klein发现,这也导致Squid与Abyss之间存在差异,后者会将HTTP请求的部分解释为第二个请求。

攻击的第三种形式使用HTTP / 1.2来规避OWASP ModSecurity中定义的WAF防御用于防止HTTP请求走私攻击的核心规则集(CRS)会生成触发该行为的恶意有效负载。

最后,克莱因(Klein)发现使用“ Content-Type:text / plain”标头字段足以绕过CRS中指定的级别检查,并产生HTTP请求走私漏洞。

有哪些可能的防御措施?

在将发现披露给Aprelium,Squid和OWASP CRS之后,问题已在Abyss X1 v2.14,Squid版本4.12和5.0.3和CRS v3.3.0中修复。

呼吁规范来自代理服务器的出站HTTP请求,Klein强调了对开源、应用要求硬核的Web应用程序防火墙解决方案的需求,该解决方案能够处理HTTP请求走私攻击。

Klein指出:“ ModSecurity(与CRS结合使用)确实是一个开源项目,但是就通用性而言,Mod Security具有多个缺点。” “它不能提供针对HTTP请求走私的全面保护,并且仅可用于Apache,IIS和nginx。”

为此,Klein发布了一个基于C++++的库,通过严格遵守HTTP标头格式和请求行格式来确保所有传入的HTTP请求是完全合规且明确的。可以从GitHub访问它。

收藏 人收藏
分享:

评论

相关推荐

沃达丰在内的电信运营商已宣布启动Open RAN试验

与华为、爱立信等厂商能够提供整套5G网络解决方案(从无线电接入塔到路由器)不同,美国目前最大的挑战在....
的头像 lhl545545 发表于 10-24 11:01 196次 阅读
沃达丰在内的电信运营商已宣布启动Open RAN试验

如何利用实施物联网计划以监控现场位置保障智能机场的安全?

物联网将以不同方式连接我们日常生活中的许多事物,民航业也不例外。确实,物联网技术可以帮助例如提高现有....
的头像 lhl545545 发表于 10-24 10:25 336次 阅读
如何利用实施物联网计划以监控现场位置保障智能机场的安全?

浪潮AI服务器NF5488A5一举创造18项性能纪录

美国东部时间10月21日,全球备受瞩目的权威AI基准测试MLPerf公布今年的推理测试榜单,浪潮AI....
的头像 Les 发表于 10-23 16:59 134次 阅读
浪潮AI服务器NF5488A5一举创造18项性能纪录

增强网络安全意识才是网络贷款和非法催债的解决方法

近年来,各种新型网络金融借贷平台兴起,带来了一大群潜在的金融消费群体,特别是大学生,在该群体中占有很....
的头像 如意 发表于 10-23 16:38 466次 阅读
增强网络安全意识才是网络贷款和非法催债的解决方法

英特尔是否要将全部7nm产品进行外包?

而对于是否要将全部产品进行外包,该公司表示,可能会交由第三方生产某些产品,比如服务器芯片。外包也可以....
的头像 我快闭嘴 发表于 10-23 16:17 216次 阅读
英特尔是否要将全部7nm产品进行外包?

用ESP8266控制墨水屏来显示天气信息

因为ESP8266不能直接访问HTTPS的网站来获取数据(内存不够),只能建了一个转发站。天气源用的....
的头像 电路设计技能 发表于 10-23 11:43 182次 阅读
用ESP8266控制墨水屏来显示天气信息

城市治安监控系统平台方案的结构组成和功能实现

城市治安监控系统平台总体上分为监控中心和前端监控点两大部分。其中监控中心根据级别不同,又分为总控中心....
发表于 10-23 11:40 209次 阅读
城市治安监控系统平台方案的结构组成和功能实现

服务器发展浪潮将会持续多久?

但是,这种服务器发展浪潮并没有使所有的服务器厂商都有同样的增长,并且也不知道这种发展浪潮将会持续多久....
的头像 我快闭嘴 发表于 10-23 11:02 289次 阅读
服务器发展浪潮将会持续多久?

宁畅AI服务器X640 首登MLPerf 斩获30项世界第一

宁畅工程师介绍,参加MLPerf Inference(推理)基准测试的X640 G30 AI服务器,....
发表于 10-23 10:48 155次 阅读
宁畅AI服务器X640 首登MLPerf 斩获30项世界第一

联发科独家供货超微串行器及解串器芯片?并首度打入超微供应链?

据报道称,全球著名IC设计厂商联发科将向半导体公司AMD供应高速运算芯片。据悉,本次是超微(AMD)....
的头像 lhl545545 发表于 10-23 10:26 723次 阅读
联发科独家供货超微串行器及解串器芯片?并首度打入超微供应链?

AMD狂势追击,Intel陷入被动状态,决战或将在于服务器市场

Intel今天发布了2020财年第三季度的财报,其中营收为183.33亿美元,与去年同期的191.9....
的头像 如意 发表于 10-23 09:29 410次 阅读
AMD狂势追击,Intel陷入被动状态,决战或将在于服务器市场

工业互联网典型安全解决方案案例汇编

在2020工业互联网大会工业互联网安全论坛上,工业互联网产业联盟安全组副主席张峰解读了《工业互联网典....
的头像 工业互联网产业联盟 发表于 10-22 15:26 385次 阅读
工业互联网典型安全解决方案案例汇编

中国工业互联网安全的展望

在2020工业互联网大会工业互联网安全论坛上,工业互联网产业联盟安全组副主席李江力解读了《2019中....
的头像 工业互联网产业联盟 发表于 10-22 15:23 92次 阅读
中国工业互联网安全的展望

新基建关键信息基础设施安全实践分论坛在京成功举办

导 读 2020年10月13日,由全国信息安全标准化技术委员会(简称信安标委)秘书处主办,中国电子技....
的头像 中国标准化 发表于 10-22 14:28 337次 阅读
新基建关键信息基础设施安全实践分论坛在京成功举办

2020年工信部刊发了《2020年IPv6端到端贯通能力提升专项行动的通知》

推进IPv6规模部署专家委员会主任、中国工程院院士邬贺铨在“开发IPv6潜力,赋能网络设施底座”主题....
的头像 华为网络 发表于 10-22 11:04 290次 阅读
2020年工信部刊发了《2020年IPv6端到端贯通能力提升专项行动的通知》

智能门店管理系统的架构组成和功能实现

随着现代化企业的不断发展,连锁门店等分支机构在迅速增多,这不仅大大增加了现场管理的工作量,同时也对管....
发表于 10-22 10:57 103次 阅读
智能门店管理系统的架构组成和功能实现

大华股份与安恒信息携手打造智慧物联产品与解决方案

近日,大华股份与全球网络安全创新500强杭州安恒信息技术股份有限公司(以下简称安恒信息)再次签署战略....
的头像 大华股份 发表于 10-22 10:02 228次 阅读
大华股份与安恒信息携手打造智慧物联产品与解决方案

深圳市网络安全大会为智慧城市和数字政府建设提供安全支撑

深圳副市长聂新平表示,深圳举办网络安全大会,是深圳贯彻落实习近平总书记重要讲话精神、抢抓“双区”驱动....
的头像 lhl545545 发表于 10-22 08:54 278次 阅读
深圳市网络安全大会为智慧城市和数字政府建设提供安全支撑

浪潮利用AI元脑产品打造全国乃至全球服务器产业核心引领和集聚区

据了解,目前国内超过50%的AI计算力来自济南,济南已实现5G主城区网络连续覆盖,拥有国家超级计算济....
的头像 lhl545545 发表于 10-21 16:53 398次 阅读
浪潮利用AI元脑产品打造全国乃至全球服务器产业核心引领和集聚区

杉岩数据作为首批合作企业加入宝德鲲鹏生态研究院

随着5G、数据中心、人工智能、工业互联网等新基建和创新业务的增加与应用的多元化发展,计算产业进入多样....
发表于 10-21 16:21 155次 阅读
杉岩数据作为首批合作企业加入宝德鲲鹏生态研究院

360政企安全集团携手苏州网络安全协同创新打造“苏州安全大脑”

正如360集团董事长兼CEO周鸿祎在第三届数字中国建设峰会上提及,建设数字中国,迫切需要把安全作为前....
的头像 lhl545545 发表于 10-21 16:08 185次 阅读
360政企安全集团携手苏州网络安全协同创新打造“苏州安全大脑”

9种主流的用以支撑微服务开发的服务网格框架及应用场景

哪种服务网格最适合你的企业?近年来,Kubernetes服务网格框架数量增加迅速,使得这成为一个棘手....
的头像 如意 发表于 10-21 16:01 227次 阅读
9种主流的用以支撑微服务开发的服务网格框架及应用场景

山东移动“5G+智慧矿井”为矿业井下作业带来了哪些新的改变?

超高清视频的典型特征就是高速率与大数据量,按照产业主流标准,4K、8K视频传输速率一般在50Mbps....
的头像 lhl545545 发表于 10-21 14:59 236次 阅读
山东移动“5G+智慧矿井”为矿业井下作业带来了哪些新的改变?

新形势下的网络终端安全挑战,为终端安全一体化打造“新基建”

网络准入(NAC)并不是一个年轻的概念,随着技术的进步,我们可以把不同的人员,各种接入方式,多样的终....
的头像 牵手一起梦 发表于 10-21 14:13 241次 阅读
新形势下的网络终端安全挑战,为终端安全一体化打造“新基建”

把支付宝的所有存储服务器炸了,到底会发生什么

把支付宝的所有存储服务器炸了,到底会发生什么? 那要看你怎么炸,我们看看最低配的金融信息系统是什么样....
的头像 嵌入式ARM 发表于 10-21 13:56 1735次 阅读
把支付宝的所有存储服务器炸了,到底会发生什么

Linux的增长主要得益于互联网的普及、数据中心和服务器数量的增加

《Fortune Business Insights》的一份报告表明,2019 年全球 Linux ....
的头像 如意 发表于 10-20 16:23 271次 阅读
Linux的增长主要得益于互联网的普及、数据中心和服务器数量的增加

如何切实解决好互联网发展网络安全建设的关键问题?

民为邦本,本固邦宁。用好互联网这个“最大增量”,首先要以人民为中心。当前我国互联网普及率不到70%,....
的头像 lhl545545 发表于 10-20 16:05 286次 阅读
如何切实解决好互联网发展网络安全建设的关键问题?

DDoS攻击正变得越来越危险,并将在未来几年内加剧。

诸如分布式拒绝服务(DDoS)攻击之类的安全威胁会破坏各种规模的企业, 通过DDoS攻击,对手希望通....
的头像 如意 发表于 10-20 15:10 185次 阅读
DDoS攻击正变得越来越危险,并将在未来几年内加剧。

物理网设备数量持续增长,给企业组织网络安全带来严峻挑战

近几年来,随着网络条件的改善和互联网应用的普及物联网设备数量迎来了爆炸性增长,而且这种势头有增无减。....
的头像 如意 发表于 10-20 14:56 158次 阅读
物理网设备数量持续增长,给企业组织网络安全带来严峻挑战

企业组织管理未来网络安全的五大优先事项

许多首席信息安全官通过美国国家标准技术研究院(NIST)的识别、保护、检测、响应和恢复模型来查看其职....
的头像 如意 发表于 10-20 14:41 477次 阅读
企业组织管理未来网络安全的五大优先事项

阿里云宣布将推出自主研发的下一代虚拟化技术第三代弹性裸金属服务器

阿里云宣布推出全新一代异构计算加速平台,在业界第一次覆盖了包括AMD、NVidia的GPU和Inte....
的头像 lhl545545 发表于 10-20 11:55 562次 阅读
阿里云宣布将推出自主研发的下一代虚拟化技术第三代弹性裸金属服务器

量子科技主导研发了全球第一套可扩展分布式量子计算测控系统

量子科技是全球竞相角逐的前沿科技,我国在量子科技领域具有先发优势,已经取得一批具有国际影响力的重大创....
的头像 lhl545545 发表于 10-20 11:05 519次 阅读
量子科技主导研发了全球第一套可扩展分布式量子计算测控系统

Burke:到2025年,大多数云服务平台都能提供需要执行的分布式云服务

到2025年,大多数云服务平台至少都能提供一些可以根据需要执行的分布式云服务。Burke先生认为:“....
的头像 lhl545545 发表于 10-20 10:51 332次 阅读
Burke:到2025年,大多数云服务平台都能提供需要执行的分布式云服务

中国移动给新的技术创新提出了挑战与网络安全风险新课题

2020年10月19日,由工业和信息化部主办,中国通信学会、中国移动通信集团公司、中国信息通信研究院....
的头像 lhl545545 发表于 10-20 08:54 550次 阅读
中国移动给新的技术创新提出了挑战与网络安全风险新课题

中国游戏行业规模快速增长,移动游戏市场表现强劲

目前,中国已经成为全球最大的游戏市场,2019年中国游戏行业市场规模达到2573亿元,2016-20....
的头像 牵手一起梦 发表于 10-19 17:33 440次 阅读
中国游戏行业规模快速增长,移动游戏市场表现强劲

建立更智能更安全DNS

网络对抗风云变幻,其中最常见的手段之一便是由来已久的DNS攻击,时至今日这种攻击方式依然相当猖獗。在....
的头像 工程师邓生 发表于 10-19 17:31 198次 阅读
建立更智能更安全DNS

是时候彻底重整网络安全问题了!

成千上万的网络帖子,包括相当一部分来自theCUBE的帖子,都强调了攻击范围的扩大所带来的安全风险增....
的头像 inr999 发表于 10-19 16:11 307次 阅读
是时候彻底重整网络安全问题了!

Microchip安全解决方案系列研讨会第9场圆满举行

《Microchip安全解决方案 系列研讨会第9场 利用TrustFLEX安全元件进行固件验证》 圆....
的头像 inr999 发表于 10-19 15:51 123次 阅读
Microchip安全解决方案系列研讨会第9场圆满举行

供应商库存持续降低,DRAM产业即将落底

南亚科表示,受到DRAM平均售价、出货量、新台币升值、汇总收益减少以及所得税增加这5大因素的影响,公....
的头像 我快闭嘴 发表于 10-19 15:32 332次 阅读
供应商库存持续降低,DRAM产业即将落底

Barnes Noble hack暴露了客户的电子邮件购买历史记录

明确地说,在攻击过程中没有窃取任何财务信息或付款细节。BarnesNoble解释说,这些总是加密和标....
的头像 倩倩 发表于 10-19 15:28 174次 阅读
Barnes Noble hack暴露了客户的电子邮件购买历史记录

谷歌在2020年已发出3.3万次警告,提醒其国家发起的网络钓鱼攻击

谷歌在2020年前三个季度向其用户发出了超过33000条警告,提醒他们国家发起的针对其账户的网络钓鱼....
的头像 如意 发表于 10-19 15:16 286次 阅读
谷歌在2020年已发出3.3万次警告,提醒其国家发起的网络钓鱼攻击

公众账号生产运营者不得批量注册、囤积或非法交易买卖公众账号

国家网信办对《互联网用户公众账号信息服务管理规定》进行修订,并向社会公开征求意见。征求意见稿要求,公....
的头像 Les 发表于 10-19 15:16 335次 阅读
公众账号生产运营者不得批量注册、囤积或非法交易买卖公众账号

又到高校开学期,黑客组织已经瞄准全球各地学校诱骗数据

随着各高校的开学,Silent Librarian 黑客组织增加了鱼叉式网络钓鱼攻击。显然,他们的目....
的头像 如意 发表于 10-19 15:04 398次 阅读
又到高校开学期,黑客组织已经瞄准全球各地学校诱骗数据

边缘计算的风险及其补救措施

如今,每个人都知道计算和网络会带来安全风险,而新的风险伴随着新的计算技术而出现。边缘计算也是如此。因....
的头像 电子魔法师 发表于 10-19 14:55 370次 阅读
边缘计算的风险及其补救措施

盘点总结微前端开发常见问题和误区

微前端开发常见问题汇总,前端应用可以独立运行、独立开发、独立部署。微前端不是单纯的前端框架或者工具而....
的头像 如意 发表于 10-19 14:49 214次 阅读
盘点总结微前端开发常见问题和误区

企业选择供应应认真对待第三方威胁和网络安全的

为了最大程度地减少这些风险和损失,公司需要意识到来自第三方的网络威胁,并采用新技术来审核供应商和业务....
的头像 如意 发表于 10-19 14:16 412次 阅读
企业选择供应应认真对待第三方威胁和网络安全的

为什么存储服务器能工作这么长时间?

对于存储服务器来说,稳定性是最重要的。存储服务器必须能够承受多年的高负载要求,并且不能像桌面计算机那....
发表于 10-19 10:17 306次 阅读
为什么存储服务器能工作这么长时间?

存储服务器硬件维护的主要内容

我们都知道,很多公司都选用了存储服务器。但是可能他们购买的存储服务器一直都不去做清理,这就会导致服务....
发表于 10-19 10:14 382次 阅读
存储服务器硬件维护的主要内容

基于S3C2410和AT2042芯片实现服务器的远程监控系统的设计

硬件部分以三星公司的ARM9芯片S3C2410和韩国的专用视频芯片AT2042为核心。S3C2410....
的头像 电子设计 发表于 10-19 10:06 554次 阅读
基于S3C2410和AT2042芯片实现服务器的远程监控系统的设计

浪潮推出的极致设计AI服务器产品,你知道哪些?

浪潮是全球领先的AI计算力专业厂商,拥有业界最丰富的AI服务器产品阵列,致力于通过创新设计,为用户提....
的头像 电子魔法师 发表于 10-18 09:25 259次 阅读
浪潮推出的极致设计AI服务器产品,你知道哪些?

【信盈达】鸿蒙操作系统移植--3、安装Python环境

安装Python环境打开Linux编译服务器终端,输入命令“python3 -v”或“python -v”,查看Python版本号。可使用python3.7以上或...
发表于 09-11 13:55 235次 阅读
【信盈达】鸿蒙操作系统移植--3、安装Python环境

8266作为服务器收到的数据总是带有“+IPD”这个头是为什么?

透传模式下面,我现在希望发送数据的模块一发送数据,服务器就直接显示原始数据,请问要怎么办? 万分感谢~~~...
发表于 08-25 08:01 101次 阅读
8266作为服务器收到的数据总是带有“+IPD”这个头是为什么?

http远程下载.bin文件丢包严重的解决办法?

请问下大伙,有没有试过用http下载过bin的文件,想用stm32+sim800c远程下载bin文件,用网络调试助手测了一下,发现丢包率严重,...
发表于 08-17 00:06 0次 阅读
http远程下载.bin文件丢包严重的解决办法?

工信部开展2020年网络安全技术应用试点示范工作

一、重点方向(一)新型信息基础设施安全类:5G、工业互联网、车联网、智慧城市、大数据、物联网、人工智能、区块链、商用密码应...
发表于 08-07 10:51 202次 阅读
工信部开展2020年网络安全技术应用试点示范工作

安信可a20模块中配置服务器,好一段时间突然失效无法连接怎么解决?

用AT命令配置好后过一段时间服务器会突然失效,而且无法再次连接,有哪位大神知道怎么解决吗?...
发表于 08-07 05:58 101次 阅读
安信可a20模块中配置服务器,好一段时间突然失效无法连接怎么解决?

请问workerman实现服务器端统计在线人数

workerman实现服务器端统计在线人数
发表于 06-19 14:59 168次 阅读
请问workerman实现服务器端统计在线人数

公司服务器遭受CC攻击防御的应急记录

记一次公司服务器遭受CC攻击防御的应急记录
发表于 06-17 16:29 177次 阅读
公司服务器遭受CC攻击防御的应急记录

请问workman怎么在服务器端创建websocet服务?

workman在服务器端创建websocet服务
发表于 06-17 14:59 178次 阅读
请问workman怎么在服务器端创建websocet服务?

VPS服务器下如何配置JavaWeb环境

VPS服务器下配置JavaWeb环境(jdk,tomcat,mysql)
发表于 06-11 17:02 187次 阅读
VPS服务器下如何配置JavaWeb环境

高性能服务器开发2018年的原创汇总

高性能服务器开发 2018 年原创汇总
发表于 06-10 12:33 62次 阅读
高性能服务器开发2018年的原创汇总