HTTP Connection Contamination

Dit is 'n opsomming van die pos: https://portswigger.net/research/http-3-connection-contamination. Kyk daarna vir verdere besonderhede!

Webblaaiers kan 'n enkele HTTP/2+ verbinding hergebruik vir verskillende webwerwe deur middel van HTTP connection coalescing, gegewe gedeelde IP adresse en 'n algemene TLS sertifikaat. Dit kan egter in konflik kom met first-request routing in omgekeerde proxies, waar daaropvolgende versoeke na die agterkant gelei word deur die eerste versoek. Hierdie verkeerde routing kan lei tot sekuriteitskwesbaarhede, veral wanneer dit gekombineer word met wildcard TLS sertifikate en domeine soos *.example.com.

Byvoorbeeld, as wordpress.example.com en secure.example.com albei deur dieselfde omgekeerde proxy bedien word en 'n algemene wildcard sertifikaat het, kan 'n blaier se verbinding coalescing versoeke na secure.example.com verkeerd verwerk deur die WordPress agterkant, wat kwesbaarhede soos XSS benut.

Om verbinding coalescing te observeer, kan Chrome se Netwerk-oortjie of gereedskap soos Wireshark gebruik word. Hier is 'n snit vir toetsing:

fetch('//sub1.hackxor.net/', {mode: 'no-cors', credentials: 'include'}).then(()=>{ fetch('//sub2.hackxor.net/', {mode: 'no-cors', credentials: 'include'}) })

Die bedreiging is tans beperk weens die seldsaamheid van eerste-versoek routering en die kompleksiteit van HTTP/2. egter, die voorgestelde veranderinge in HTTP/3, wat die IP-adres ooreenkoms vereiste verslap, kan die aanvaloppervlak verbreed, wat bedieners met 'n wildcard sertifikaat meer kwesbaar maak sonder die behoefte aan 'n MITM-aanval.

Beste praktyke sluit in om eerste-versoek routering in omgekeerde proxies te vermy en om versigtig te wees met wildcard TLS-sertifikate, veral met die opkoms van HTTP/3. Gereelde toetsing en bewustheid van hierdie komplekse, onderling verbonde kwesbaarhede is van kardinale belang vir die handhawing van websekuriteit.