HTTP Connection Contamination
Dies ist eine Zusammenfassung des Beitrags: https://portswigger.net/research/http-3-connection-contamination. Überprüfen Sie ihn für weitere Details!
Webbrowser können eine einzelne HTTP/2+-Verbindung für verschiedene Websites über HTTP-Verbindungsverunreinigung wiederverwenden, vorausgesetzt, es gibt gemeinsame IP-Adressen und ein gemeinsames TLS-Zertifikat. Dies kann jedoch im Konflikt mit der First-Request-Routing in Reverse-Proxies stehen, bei der nachfolgende Anfragen an das Backend gerichtet werden, das durch die erste Anfrage bestimmt wird. Diese Fehlleitung kann zu Sicherheitslücken führen, insbesondere in Kombination mit Wildcard-TLS-Zertifikaten und Domains wie *.example.com.
Wenn beispielsweise wordpress.example.com und secure.example.com beide von demselben Reverse-Proxy bedient werden und ein gemeinsames Wildcard-Zertifikat haben, könnte die Verbindungsverunreinigung eines Browsers dazu führen, dass Anfragen an secure.example.com fälschlicherweise vom WordPress-Backend verarbeitet werden und Sicherheitslücken wie XSS ausnutzen.
Um die Verbindungsverunreinigung zu beobachten, können Sie die Netzwerktabelle von Chrome oder Tools wie Wireshark verwenden. Hier ist ein Codeausschnitt zum Testen:
Die Bedrohung ist derzeit begrenzt aufgrund der Seltenheit der Weiterleitung der ersten Anfrage und der Komplexität von HTTP/2. Die vorgeschlagenen Änderungen in HTTP/3, die die IP-Adressen-Übereinstimmungsanforderung lockern, könnten jedoch die Angriffsfläche erweitern und Server mit einem Wildcard-Zertifikat anfälliger machen, ohne dass ein MITM-Angriff erforderlich ist.
Best Practices umfassen das Vermeiden der Weiterleitung der ersten Anfrage in Reverse-Proxies und das Vorsichtigsein bei Wildcard-TLS-Zertifikaten, insbesondere mit dem Aufkommen von HTTP/3. Regelmäßige Tests und das Bewusstsein für diese komplexen, miteinander verbundenen Schwachstellen sind entscheidend für die Aufrechterhaltung der Web-Sicherheit.
Last updated