HTTP Request Smuggling / HTTP Desync Attack
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Erhalten Sie die Perspektive eines Hackers auf Ihre Webanwendungen, Netzwerke und Cloud
Finden und melden Sie kritische, ausnutzbare Schwachstellen mit echtem Geschäftsauswirkungen. Verwenden Sie unsere 20+ benutzerdefinierten Tools, um die Angriffsfläche zu kartieren, Sicherheitsprobleme zu finden, die Ihnen ermöglichen, Berechtigungen zu eskalieren, und automatisierte Exploits zu verwenden, um wesentliche Beweise zu sammeln, die Ihre harte Arbeit in überzeugende Berichte verwandeln.
Diese Schwachstelle tritt auf, wenn eine Desynchronisation zwischen Front-End-Proxys und dem Back-End-Server es einem Angreifer ermöglicht, eine HTTP Anfrage zu senden, die von den Front-End-Proxys (Lastenausgleich/Reverse-Proxy) als eine Anfrage und vom Back-End-Server als 2 Anfragen interpretiert wird. Dies ermöglicht es einem Benutzer, die nächste Anfrage zu ändern, die nach seiner an den Back-End-Server ankommt.
Wenn eine Nachricht mit sowohl einem Transfer-Encoding-Headerfeld als auch einem Content-Length-Headerfeld empfangen wird, muss letzterer ignoriert werden.
Content-Length
Der Content-Length-Entitätsheader gibt die Größe des Entitätskörpers in Bytes an, die an den Empfänger gesendet werden.
Transfer-Encoding: chunked
Der Transfer-Encoding-Header gibt die Form der Kodierung an, die verwendet wird, um den Payload-Körper sicher an den Benutzer zu übertragen. Chunked bedeutet, dass große Daten in einer Reihe von Stücken gesendet werden.
Das Front-End (ein Lastenausgleich / Reverse Proxy) verarbeitet den Content-Length oder den Transfer-Encoding Header und der Back-End-Server verarbeitet den anderen, was eine Desynchronisation zwischen den 2 Systemen verursacht. Dies könnte sehr kritisch sein, da ein Angreifer in der Lage sein wird, eine Anfrage an den Reverse-Proxy zu senden, die vom Back-End-Server als 2 verschiedene Anfragen interpretiert wird. Die Gefahr dieser Technik liegt darin, dass der Back-End-Server die 2. injizierte Anfrage so interpretieren wird, als ob sie vom nächsten Client stammt und die echte Anfrage dieses Clients Teil der injizierten Anfrage sein wird.
Denken Sie daran, dass in HTTP ein neuer Zeilenzeichen aus 2 Bytes besteht:
Content-Length: Dieser Header verwendet eine dezimale Zahl, um die Anzahl der Bytes des Körpers der Anfrage anzugeben. Der Körper wird erwartet, dass er mit dem letzten Zeichen endet, ein neuer Zeilenzeichen ist am Ende der Anfrage nicht erforderlich.
Transfer-Encoding: Dieser Header verwendet im Körper eine hexadezimale Zahl, um die Anzahl der Bytes des nächsten Stücks anzugeben. Das Stück muss mit einem neuen Zeilenzeichen enden, aber dieses neue Zeilenzeichen wird nicht vom Längenindikator gezählt. Diese Übertragungsmethode muss mit einem Stück der Größe 0, gefolgt von 2 neuen Zeilen enden: 0
Connection: Basierend auf meiner Erfahrung wird empfohlen, Connection: keep-alive bei der ersten Anfrage des Request Smuggling zu verwenden.
Wenn Sie versuchen, dies mit Burp Suite auszunutzen, deaktivieren Sie Update Content-Length und Normalize HTTP/1 line endings im Repeater, da einige Gadgets neue Zeilen, Wagenrückläufe und fehlerhafte Content-Lengths ausnutzen.
HTTP-Request-Smuggling-Angriffe werden erstellt, indem mehrdeutige Anfragen gesendet werden, die Diskrepanzen in der Art und Weise ausnutzen, wie Front-End- und Back-End-Server die Content-Length (CL) und Transfer-Encoding (TE) Header interpretieren. Diese Angriffe können in verschiedenen Formen auftreten, hauptsächlich als CL.TE, TE.CL und TE.TE. Jeder Typ stellt eine einzigartige Kombination dar, wie die Front-End- und Back-End-Server diese Header priorisieren. Die Schwachstellen entstehen, weil die Server dieselbe Anfrage auf unterschiedliche Weise verarbeiten, was zu unerwarteten und potenziell bösartigen Ergebnissen führt.
Zur vorherigen Tabelle sollten Sie die TE.0-Technik hinzufügen, wie die CL.0-Technik, aber unter Verwendung von Transfer-Encoding.
Front-End (CL): Verarbeitet die Anfrage basierend auf dem Content-Length-Header.
Back-End (TE): Verarbeitet die Anfrage basierend auf dem Transfer-Encoding-Header.
Angriffsszenario:
Der Angreifer sendet eine Anfrage, bei der der Wert des Content-Length-Headers nicht mit der tatsächlichen Inhaltslänge übereinstimmt.
Der Front-End-Server leitet die gesamte Anfrage an das Back-End weiter, basierend auf dem Content-Length-Wert.
Der Back-End-Server verarbeitet die Anfrage als chunked aufgrund des Transfer-Encoding: chunked-Headers und interpretiert die verbleibenden Daten als separate, nachfolgende Anfrage.
Beispiel:
Front-End (TE): Verarbeitet die Anfrage basierend auf dem Transfer-Encoding-Header.
Back-End (CL): Verarbeitet die Anfrage basierend auf dem Content-Length-Header.
Angriffsszenario:
Der Angreifer sendet eine chunked Anfrage, bei der die Chunk-Größe (7b) und die tatsächliche Inhaltslänge (Content-Length: 4) nicht übereinstimmen.
Der Front-End-Server, der Transfer-Encoding respektiert, leitet die gesamte Anfrage an das Back-End weiter.
Der Back-End-Server, der Content-Length respektiert, verarbeitet nur den ersten Teil der Anfrage (7b Bytes) und lässt den Rest als Teil einer unbeabsichtigten nachfolgenden Anfrage.
Beispiel:
Server: Beide unterstützen Transfer-Encoding, aber einer kann durch Obfuskation dazu gebracht werden, es zu ignorieren.
Angriffsszenario:
Der Angreifer sendet eine Anfrage mit obfuskierten Transfer-Encoding-Headern.
Je nachdem, welcher Server (Front-End oder Back-End) die Obfuskation nicht erkennt, kann eine CL.TE- oder TE.CL-Schwachstelle ausgenutzt werden.
Der nicht verarbeitete Teil der Anfrage, wie er von einem der Server gesehen wird, wird Teil einer nachfolgenden Anfrage, was zu Smuggling führt.
Beispiel:
Beide Server verarbeiten die Anfrage ausschließlich basierend auf dem Content-Length-Header.
Dieses Szenario führt typischerweise nicht zu Smuggling, da es eine Übereinstimmung in der Art und Weise gibt, wie beide Server die Anfragelänge interpretieren.
Beispiel:
Bezieht sich auf Szenarien, in denen der Content-Length-Header vorhanden ist und einen Wert ungleich null hat, was darauf hinweist, dass der Anfragekörper Inhalt hat. Das Back-End ignoriert den Content-Length-Header (der als 0 behandelt wird), aber das Front-End analysiert ihn.
Es ist entscheidend für das Verständnis und die Erstellung von Smuggling-Angriffen, da es beeinflusst, wie Server das Ende einer Anfrage bestimmen.
Beispiel:
Wie das vorherige, aber unter Verwendung von TE
Technik hier gemeldet
Beispiel:
Diese Technik ist auch nützlich in Szenarien, in denen es möglich ist, einen Webserver zu brechen, während die initialen HTTP-Daten gelesen werden, aber ohne die Verbindung zu schließen. Auf diese Weise wird der Body der HTTP-Anfrage als nächste HTTP-Anfrage betrachtet.
Zum Beispiel, wie in diesem Bericht erklärt, war es in Werkzeug möglich, einige Unicode-Zeichen zu senden, und es wird den Server brechen. Wenn jedoch die HTTP-Verbindung mit dem Header Connection: keep-alive erstellt wurde, wird der Body der Anfrage nicht gelesen und die Verbindung bleibt weiterhin offen, sodass der Body der Anfrage als nächste HTTP-Anfrage behandelt wird.
Durch den Missbrauch von Hop-by-Hop-Headern könnten Sie den Proxy anweisen, den Header Content-Length oder Transfer-Encoding zu löschen, sodass ein HTTP-Request-Smuggling möglich ist.
For weitere Informationen zu hop-by-hop-Headern besuchen Sie:
Die Identifizierung von HTTP Request Smuggling-Schwachstellen kann oft durch Timing-Techniken erreicht werden, die darauf basieren, wie lange der Server benötigt, um auf manipulierte Anfragen zu reagieren. Diese Techniken sind besonders nützlich zur Erkennung von CL.TE- und TE.CL-Schwachstellen. Neben diesen Methoden gibt es weitere Strategien und Tools, die verwendet werden können, um solche Schwachstellen zu finden:
Methode:
Senden Sie eine Anfrage, die, falls die Anwendung anfällig ist, den Back-End-Server dazu bringt, auf zusätzliche Daten zu warten.
Beispiel:
Beobachtung:
Der Front-End-Server verarbeitet die Anfrage basierend auf Content-Length und schneidet die Nachricht vorzeitig ab.
Der Back-End-Server, der eine chunked Nachricht erwartet, wartet auf den nächsten Chunk, der nie ankommt, was zu einer Verzögerung führt.
Indikatoren:
Timeouts oder lange Verzögerungen bei der Antwort.
Erhalt eines 400 Bad Request-Fehlers vom Back-End-Server, manchmal mit detaillierten Serverinformationen.
Methode:
Senden Sie eine Anfrage, die, falls die Anwendung anfällig ist, den Back-End-Server dazu bringt, auf zusätzliche Daten zu warten.
Beispiel:
Beobachtung:
Der Front-End-Server verarbeitet die Anfrage basierend auf Transfer-Encoding und leitet die gesamte Nachricht weiter.
Der Back-End-Server, der eine Nachricht basierend auf Content-Length erwartet, wartet auf zusätzliche Daten, die nie ankommen, was zu einer Verzögerung führt.
Differenzielle Antwortanalyse:
Senden Sie leicht variierte Versionen einer Anfrage und beobachten Sie, ob die Serverantworten auf unerwartete Weise abweichen, was auf eine Parsing-Diskrepanz hinweist.
Verwendung automatisierter Tools:
Tools wie die 'HTTP Request Smuggler'-Erweiterung von Burp Suite können automatisch auf diese Schwachstellen testen, indem sie verschiedene Formen von mehrdeutigen Anfragen senden und die Antworten analysieren.
Content-Length-Varianztests:
Senden Sie Anfragen mit variierenden Content-Length-Werten, die nicht mit der tatsächlichen Inhaltslänge übereinstimmen, und beobachten Sie, wie der Server mit solchen Abweichungen umgeht.
Transfer-Encoding-Varianztests:
Senden Sie Anfragen mit obfuskierten oder fehlerhaften Transfer-Encoding-Headern und überwachen Sie, wie unterschiedlich die Front-End- und Back-End-Server auf solche Manipulationen reagieren.
Nachdem die Wirksamkeit von Timing-Techniken bestätigt wurde, ist es entscheidend zu überprüfen, ob Client-Anfragen manipuliert werden können. Eine einfache Methode besteht darin, zu versuchen, Ihre Anfragen zu vergiften, zum Beispiel eine Anfrage an / zu senden, die eine 404-Antwort zurückgibt. Die zuvor in Grundlegende Beispiele besprochenen CL.TE- und TE.CL-Beispiele zeigen, wie man eine Client-Anfrage vergiftet, um eine 404-Antwort zu erhalten, obwohl der Client auf eine andere Ressource zugreifen möchte.
Wichtige Überlegungen
Beim Testen auf Request Smuggling-Schwachstellen durch Störung anderer Anfragen sollten Sie Folgendes beachten:
Getrennte Netzwerkverbindungen: Die "Angriffs"- und "normalen" Anfragen sollten über separate Netzwerkverbindungen gesendet werden. Die Verwendung derselben Verbindung für beide validiert nicht das Vorhandensein der Schwachstelle.
Konsistente URL und Parameter: Versuchen Sie, identische URLs und Parameternamen für beide Anfragen zu verwenden. Moderne Anwendungen leiten Anfragen oft an spezifische Back-End-Server basierend auf URL und Parametern weiter. Das Abgleichen dieser erhöht die Wahrscheinlichkeit, dass beide Anfragen vom selben Server verarbeitet werden, was eine Voraussetzung für einen erfolgreichen Angriff ist.
Timing- und Rennbedingungen: Die "normale" Anfrage, die dazu dient, Störungen durch die "Angriffs"-Anfrage zu erkennen, konkurriert mit anderen gleichzeitigen Anwendungsanfragen. Daher sollte die "normale" Anfrage sofort nach der "Angriffs"-Anfrage gesendet werden. Beschäftigte Anwendungen können mehrere Versuche erfordern, um eine schlüssige Bestätigung der Schwachstelle zu erhalten.
Herausforderungen beim Lastenausgleich: Front-End-Server, die als Lastenausgleicher fungieren, können Anfragen auf verschiedene Back-End-Systeme verteilen. Wenn die "Angriffs"- und "normalen" Anfragen auf unterschiedlichen Systemen landen, wird der Angriff nicht erfolgreich sein. Dieser Aspekt des Lastenausgleichs kann mehrere Versuche erfordern, um eine Schwachstelle zu bestätigen.
Unbeabsichtigte Auswirkungen auf Benutzer: Wenn Ihr Angriff versehentlich die Anfrage eines anderen Benutzers beeinflusst (nicht die "normale" Anfrage, die Sie zur Erkennung gesendet haben), deutet dies darauf hin, dass Ihr Angriff einen anderen Anwendungsbenutzer beeinflusst hat. Kontinuierliches Testen könnte andere Benutzer stören, was einen vorsichtigen Ansatz erfordert.
Manchmal setzen Front-End-Proxys Sicherheitsmaßnahmen durch, die eingehende Anfragen überprüfen. Diese Maßnahmen können jedoch umgangen werden, indem HTTP Request Smuggling ausgenutzt wird, was unbefugten Zugriff auf eingeschränkte Endpunkte ermöglicht. Zum Beispiel könnte der Zugriff auf /admin extern verboten sein, wobei der Front-End-Proxy solche Versuche aktiv blockiert. Dennoch könnte dieser Proxy es versäumen, eingebettete Anfragen innerhalb einer geschmuggelten HTTP-Anfrage zu überprüfen, was eine Lücke zum Umgehen dieser Einschränkungen lässt.
Betrachten Sie die folgenden Beispiele, die veranschaulichen, wie HTTP Request Smuggling verwendet werden kann, um Front-End-Sicherheitskontrollen zu umgehen, insbesondere den /admin-Pfad, der typischerweise vom Front-End-Proxy geschützt wird:
CL.TE Beispiel
Im CL.TE-Angriff wird der Content-Length-Header für die ursprüngliche Anfrage verwendet, während die nachfolgende eingebettete Anfrage den Transfer-Encoding: chunked-Header nutzt. Der Front-End-Proxy verarbeitet die ursprüngliche POST-Anfrage, übersieht jedoch die eingebettete GET /admin-Anfrage, was unbefugten Zugriff auf den /admin-Pfad ermöglicht.
TE.CL Beispiel
Im Gegensatz dazu verwendet der TE.CL-Angriff die anfängliche POST-Anfrage mit Transfer-Encoding: chunked, und die nachfolgende eingebettete Anfrage wird basierend auf dem Content-Length-Header verarbeitet. Ähnlich wie beim CL.TE-Angriff übersieht der Front-End-Proxy die geschmuggelte GET /admin-Anfrage und gewährt versehentlich Zugriff auf den eingeschränkten /admin-Pfad.
Anwendungen verwenden häufig einen Front-End-Server, um eingehende Anfragen zu ändern, bevor sie an den Back-End-Server weitergeleitet werden. Eine typische Änderung besteht darin, Header hinzuzufügen, wie z.B. X-Forwarded-For: <IP des Clients>, um die IP des Clients an das Back-End weiterzuleiten. Das Verständnis dieser Änderungen kann entscheidend sein, da es Möglichkeiten aufdecken könnte, Schutzmaßnahmen zu umgehen oder verborgene Informationen oder Endpunkte aufzudecken.
Um zu untersuchen, wie ein Proxy eine Anfrage ändert, finden Sie einen POST-Parameter, den das Back-End in der Antwort zurückgibt. Erstellen Sie dann eine Anfrage, bei der dieser Parameter zuletzt verwendet wird, ähnlich wie im Folgenden:
In dieser Struktur werden die nachfolgenden Anfragekomponenten nach search= angehängt, was der Parameter ist, der in der Antwort reflektiert wird. Diese Reflexion wird die Header der nachfolgenden Anfrage offenbaren.
Es ist wichtig, den Content-Length-Header der geschachtelten Anfrage mit der tatsächlichen Inhaltslänge abzugleichen. Es ist ratsam, mit einem kleinen Wert zu beginnen und schrittweise zu erhöhen, da ein zu niedriger Wert die reflektierten Daten abschneiden kann, während ein zu hoher Wert dazu führen kann, dass die Anfrage fehlschlägt.
Diese Technik ist auch im Kontext einer TE.CL-Schwachstelle anwendbar, aber die Anfrage sollte mit search=\r\n0 enden. Unabhängig von den Zeilenumbruchzeichen werden die Werte an den Suchparameter angehängt.
Diese Methode dient hauptsächlich dazu, die von dem Front-End-Proxy vorgenommenen Anfrageänderungen zu verstehen, indem sie im Wesentlichen eine selbstgesteuerte Untersuchung durchführt.
Es ist möglich, die Anfragen des nächsten Benutzers zu erfassen, indem man eine spezifische Anfrage als Wert eines Parameters während einer POST-Operation anhängt. So kann dies erreicht werden:
Indem Sie die folgende Anfrage als Wert eines Parameters anhängen, können Sie die Anfrage des nachfolgenden Clients speichern:
In diesem Szenario ist der Kommentarparameter dazu gedacht, die Inhalte im Kommentarbereich eines Beitrags auf einer öffentlich zugänglichen Seite zu speichern. Folglich werden die Inhalte der nachfolgenden Anfrage als Kommentar angezeigt.
Diese Technik hat jedoch Einschränkungen. Im Allgemeinen erfasst sie Daten nur bis zum Parameter-Trennzeichen, das in der geschmuggelten Anfrage verwendet wird. Bei URL-kodierten Formularübermittlungen ist dieses Trennzeichen das &-Zeichen. Das bedeutet, dass der erfasste Inhalt aus der Anfrage des Opfers beim ersten & stoppt, das möglicherweise sogar Teil der Abfragezeichenfolge ist.
Darüber hinaus ist es erwähnenswert, dass dieser Ansatz auch bei einer TE.CL-Schwachstelle anwendbar ist. In solchen Fällen sollte die Anfrage mit search=\r\n0 enden. Unabhängig von Zeilenumbruchzeichen werden die Werte an den Suchparameter angehängt.
HTTP Request Smuggling kann genutzt werden, um Webseiten auszunutzen, die anfällig für reflektiertes XSS sind, und bietet erhebliche Vorteile:
Interaktion mit den Zielbenutzern ist nicht erforderlich.
Ermöglicht die Ausnutzung von XSS in Teilen der Anfrage, die normalerweise unerreichbar sind, wie HTTP-Anforderungsheader.
In Szenarien, in denen eine Website anfällig für reflektiertes XSS über den User-Agent-Header ist, zeigt die folgende Payload, wie man diese Schwachstelle ausnutzen kann:
Dieses Payload ist so strukturiert, dass es die Schwachstelle ausnutzt, indem es:
Eine POST-Anfrage initiiert, die scheinbar typisch ist, mit einem Transfer-Encoding: chunked-Header, um den Beginn des Smuggelns anzuzeigen.
Darauf folgt eine 0, die das Ende des chunked Nachrichtentextes markiert.
Dann wird eine geschmuggelte GET-Anfrage eingeführt, bei der der User-Agent-Header mit einem Skript, <script>alert(1)</script>, injiziert wird, was die XSS auslöst, wenn der Server diese nachfolgende Anfrage verarbeitet.
Durch die Manipulation des User-Agent durch Smuggling umgeht das Payload die normalen Anfragebeschränkungen und nutzt somit die Reflected XSS-Schwachstelle auf eine nicht standardmäßige, aber effektive Weise aus.
Falls der Benutzerinhalt in einer Antwort mit einem Content-type wie text/plain widergespiegelt wird, wird die Ausführung der XSS verhindert. Wenn der Server HTTP/0.9 unterstützt, könnte es möglich sein, dies zu umgehen!
Die Version HTTP/0.9 war zuvor zu 1.0 und verwendet nur GET-Verben und antwortet nicht mit Headers, nur mit dem Body.
In diesem Bericht wurde dies mit einem Request Smuggling und einem anfälligen Endpunkt, der mit der Eingabe des Benutzers antwortet, ausgenutzt, um eine Anfrage mit HTTP/0.9 zu schmuggeln. Der Parameter, der in der Antwort widergespiegelt wird, enthielt eine falsche HTTP/1.1-Antwort (mit Headers und Body), sodass die Antwort gültigen ausführbaren JS-Code mit einem Content-Type von text/html enthält.
Anwendungen leiten oft von einer URL zu einer anderen um, indem sie den Hostnamen aus dem Host-Header in der Umleitungs-URL verwenden. Dies ist bei Webservern wie Apache und IIS üblich. Zum Beispiel führt die Anforderung eines Ordners ohne abschließenden Schrägstrich zu einer Umleitung, um den Schrägstrich einzuschließen:
Ergebnisse in:
Obwohl scheinbar harmlos, kann dieses Verhalten mithilfe von HTTP-Request-Smuggling manipuliert werden, um Benutzer auf eine externe Seite umzuleiten. Zum Beispiel:
Diese geschmuggelte Anfrage könnte dazu führen, dass die nächste verarbeitete Benutzeranfrage auf eine von einem Angreifer kontrollierte Website umgeleitet wird:
Ergebnisse in:
In diesem Szenario wird die Anfrage eines Benutzers nach einer JavaScript-Datei hijacked. Der Angreifer kann potenziell den Benutzer kompromittieren, indem er bösartigen JavaScript als Antwort bereitstellt.
Web-Cache-Vergiftung kann ausgeführt werden, wenn irgendeine Komponente der Front-End-Infrastruktur Inhalte cached, typischerweise um die Leistung zu verbessern. Durch Manipulation der Serverantwort ist es möglich, den Cache zu vergiften.
Zuvor haben wir beobachtet, wie Serverantworten geändert werden konnten, um einen 404-Fehler zurückzugeben (siehe Grundlegende Beispiele). Ähnlich ist es möglich, den Server dazu zu bringen, den Inhalt von /index.html als Antwort auf eine Anfrage nach /static/include.js zu liefern. Folglich wird der Inhalt von /static/include.js im Cache durch den von /index.html ersetzt, wodurch /static/include.js für Benutzer unzugänglich wird, was potenziell zu einem Denial of Service (DoS) führen kann.
Diese Technik wird besonders mächtig, wenn eine Open Redirect-Schwachstelle entdeckt wird oder wenn es eine Vor-Ort-Umleitung zu einer offenen Umleitung gibt. Solche Schwachstellen können ausgenutzt werden, um den zwischengespeicherten Inhalt von /static/include.js durch ein Skript unter der Kontrolle des Angreifers zu ersetzen, was im Wesentlichen einen weitreichenden Cross-Site Scripting (XSS)-Angriff gegen alle Clients ermöglicht, die das aktualisierte /static/include.js anfordern.
Unten ist eine Illustration des Ausnutzens von Cache-Vergiftung kombiniert mit einer Vor-Ort-Umleitung zu einer offenen Umleitung. Das Ziel ist es, den Cache-Inhalt von /static/include.js zu ändern, um JavaScript-Code bereitzustellen, der vom Angreifer kontrolliert wird:
Beachten Sie die eingebettete Anfrage, die auf /post/next?postId=3 abzielt. Diese Anfrage wird auf /post?postId=4 umgeleitet, wobei der Host-Header-Wert verwendet wird, um die Domain zu bestimmen. Durch Ändern des Host-Headers kann der Angreifer die Anfrage auf seine Domain umleiten (on-site redirect to open redirect).
Nach erfolgreicher Socket-Poisoning sollte eine GET-Anfrage für /static/include.js initiiert werden. Diese Anfrage wird durch die vorherige on-site redirect to open redirect-Anfrage kontaminiert und ruft den Inhalt des vom Angreifer kontrollierten Skripts ab.
Anschließend wird jede Anfrage für /static/include.js den zwischengespeicherten Inhalt des Skripts des Angreifers bereitstellen, was effektiv einen umfassenden XSS-Angriff auslöst.
Was ist der Unterschied zwischen Web-Cache-Poisoning und Web-Cache-Täuschung?
Bei Web-Cache-Poisoning verursacht der Angreifer, dass die Anwendung schädliche Inhalte im Cache speichert, und diese Inhalte werden aus dem Cache an andere Anwendungsbenutzer bereitgestellt.
Bei Web-Cache-Täuschung verursacht der Angreifer, dass die Anwendung sensible Inhalte eines anderen Benutzers im Cache speichert, und der Angreifer ruft dann diese Inhalte aus dem Cache ab.
Der Angreifer erstellt eine geschmuggelte Anfrage, die sensible benutzerspezifische Inhalte abruft. Betrachten Sie das folgende Beispiel:
Wenn diese geschmuggelte Anfrage einen Cache-Eintrag für statische Inhalte (z. B. /someimage.png) vergiftet, könnten die sensiblen Daten des Opfers von /private/messages unter dem Cache-Eintrag für statische Inhalte gespeichert werden. Folglich könnte der Angreifer potenziell diese zwischengespeicherten sensiblen Daten abrufen.
In diesem Beitrag wird vorgeschlagen, dass es möglich sein könnte, die Methode TRACE zu missbrauchen, wenn der Server diese aktiviert hat, indem man HTTP Request Smuggling verwendet. Dies liegt daran, dass diese Methode jeden Header, der an den Server gesendet wird, als Teil des Antwortkörpers zurückgibt. Zum Beispiel:
Wird eine Antwort senden wie:
Ein Beispiel, wie man dieses Verhalten ausnutzen kann, wäre, zuerst eine HEAD-Anfrage zu schmuggeln. Diese Anfrage wird nur mit den Headern einer GET-Anfrage (Content-Type unter ihnen) beantwortet. Und sofort nach dem HEAD eine TRACE-Anfrage zu schmuggeln, die die gesendeten Daten reflektiert.
Da die HEAD-Antwort einen Content-Length-Header enthalten wird, wird die Antwort der TRACE-Anfrage als der Körper der HEAD-Antwort behandelt, wodurch beliebige Daten in der Antwort reflektiert werden.
Diese Antwort wird an die nächste Anfrage über die Verbindung gesendet, sodass dies zum Beispiel in einer zwischengespeicherten JS-Datei verwendet werden könnte, um beliebigen JS-Code einzuschleusen.
Es wird empfohlen, diesen Beitrag zu verfolgen, um eine weitere Möglichkeit zum Missbrauch der TRACE-Methode zu sehen. Wie kommentiert, ist es durch das Schmuggeln einer HEAD-Anfrage und einer TRACE-Anfrage möglich, einige reflektierte Daten in der Antwort auf die HEAD-Anfrage zu steuern. Die Länge des Körpers der HEAD-Anfrage wird im Wesentlichen im Content-Length-Header angegeben und wird durch die Antwort auf die TRACE-Anfrage gebildet.
Daher wäre die neue Idee, dass es, wenn man diesen Content-Length und die in der TRACE-Antwort gegebenen Daten kennt, möglich ist, die TRACE-Antwort so zu gestalten, dass sie eine gültige HTTP-Antwort nach dem letzten Byte des Content-Length enthält, was es einem Angreifer ermöglicht, die Anfrage zur nächsten Antwort vollständig zu steuern (was verwendet werden könnte, um eine Cache-Vergiftung durchzuführen).
Beispiel:
Wird diese Antworten generieren (beachten Sie, wie die HEAD-Antwort eine Content-Length hat, wodurch die TRACE-Antwort Teil des HEAD-Körpers wird, und sobald die HEAD Content-Length endet, wird eine gültige HTTP-Antwort geschmuggelt):
Hast du eine HTTP Request Smuggling-Schwachstelle gefunden und weißt nicht, wie du sie ausnutzen kannst? Probiere diese anderen Methoden der Ausnutzung:
Browser HTTP Request Smuggling (Client-Seite)
Request Smuggling in HTTP/2 Downgrades
Von https://hipotermia.pw/bb/http-desync-idor
Von: https://hipotermia.pw/bb/http-desync-account-takeover
https://github.com/bahruzjabiyev/t-reqs-http-fuzzer: Dieses Tool ist ein grammatikbasiertes HTTP-Fuzzer, das nützlich ist, um seltsame Unterschiede beim Request Smuggling zu finden.
Erhalten Sie die Perspektive eines Hackers auf Ihre Webanwendungen, Ihr Netzwerk und die Cloud
Finden und melden Sie kritische, ausnutzbare Sicherheitsanfälligkeiten mit echtem Geschäftsauswirkungen. Verwenden Sie unsere 20+ benutzerdefinierten Tools, um die Angriffsfläche zu kartieren, Sicherheitsprobleme zu finden, die Ihnen ermöglichen, Berechtigungen zu eskalieren, und automatisierte Exploits zu verwenden, um wesentliche Beweise zu sammeln, die Ihre harte Arbeit in überzeugende Berichte verwandeln.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
