यह पोस्ट https://nathandavison.com/blog/abusing-http-hop-by-hop-request-headers का सारांश है

हॉप-बाय-हॉप हेडर्स एकल परिवहन स्तर कनेक्शन के लिए विशेष होते हैं, मुख्य रूप से HTTP/1.1 में उपयोग किए जाते हैं दो नोडों के बीच डेटा प्रबंधित करने के लिए (जैसे क्लाइंट-प्रॉक्सी या प्रॉक्सी-प्रॉक्सी), और आगे नहीं भेजे जाने के लिए नहीं होते। मानक हॉप-बाय-हॉप हेडर्स में Keep-Alive, Transfer-Encoding, TE, Connection, Trailer, Upgrade, Proxy-Authorization, और Proxy-Authenticate शामिल हैं, जैसा कि RFC 2616 में परिभाषित है। अतिरिक्त हेडर्स को Connection हेडर के माध्यम से हॉप-बाय-हॉप नामित किया जा सकता है।

हॉप-बाय-हॉप हेडर्स का दुरुपयोग

प्रॉक्सी द्वारा हॉप-बाय-हॉप हेडर्स का अनुचित प्रबंधन सुरक्षा समस्याओं में ले जा सकता है। जबकि प्रॉक्सी से इन हेडर्स को हटाने की उम्मीद है, सभी ऐसा नहीं करते, जिससे संभावित सुरक्षा दोष उत्पन्न हो सकते हैं।

हॉप-बाय-हॉप हेडर्स हैंडलिंग की जांच

हॉप-बाय-हॉप हेडर्स का हैंडलिंग विशेष हेडर्स को हॉप-बाय-हॉप रूप में चिह्नित करने पर सर्वर प्रतिक्रियाओं में परिवर्तनों का अवलोकन करके जांचा जा सकता है। उपकरण और स्क्रिप्ट इस प्रक्रिया को स्वचालित कर सकते हैं, प्रॉक्सी इन हेडर्स का प्रबंधन कैसे करते हैं और संभावित गलतियों या प्रॉक्सी व्यवहारों का पता लगा सकते हैं।

हॉप-बाय-हॉप हेडर्स का दुरुपयोग विभिन्न सुरक्षा प्रभावों में ले जा सकता है। नीचे कुछ उदाहरण हैं जो दिखाते हैं कि इन हेडर्स को संभावित हमलों के लिए कैसे बदला जा सकता है:

X-Forwarded-For का उपयोग करके सुरक्षा नियंत्रण को छलना

एक हमलावर X-Forwarded-For हेडर को अपने लक्ष्य के आईपी पर आधारित पहुंच नियंत्रणों को छलकर गुजर सकता है। यह हेडर अक्सर प्रॉक्सी द्वारा उपयोग किया जाता है ताकि प्रॉक्सी उपयोक्ता के मूल आईपी पते का पता लगा सके। हालांकि, यदि कोई प्रॉक्सी इस हेडर को हॉप-बाय-हॉप के रूप में संज्ञान में लेता है और सही मान्यता के बिना आगे भेजता है, तो हमलावर अपना आईपी पता छलकर सकता है।

हमले का परिदृश्य:

1. हमलावर एक वेब एप्लिकेशन को प्रॉक्सी के पीछे एक HTTP अनुरोध भेजता है, X-Forwarded-For हेडर में एक नकली आईपी पता शामिल करता है।

2. हमलावर यह भी Connection: close, X-Forwarded-For हेडर शामिल करता है, जिससे प्रॉक्सी को X-Forwarded-For को हॉप-बाय-हॉप के रूप में देखने के लिए प्रेरित किया जाता है।

3. गलत रूप से कॉन्फ़िगर की गई प्रॉक्सी वेब एप्लिकेशन को छलकर बिना दिखाए हुए X-Forwarded-For हेडर के साथ अनुरोध आगे भेजती है।

4. वेब एप्लिकेशन, मूल X-Forwarded-For हेडर नहीं देखता, शायद अनधिकृत पहुंच के रूप में अनुमानित पहुंच के रूप में विचार कर सकता है, जिससे अनधिकृत पहुंच से अनधिकृत पहुंच की अनुमति दी जा सकती है।

हॉप-बाय-हॉप हेडर इंजेक्शन के माध्यम से कैश पॉइज़निंग

यदि कैश सर्वर हॉप-बाय-हॉप हेडर्स पर आधारित सामग्री को गलत रूप से कैश करता है, तो हमलावर दुर्भाग्यपूर्ण हेडर्स को इंजेक्ट करके कैश को पॉइज़न कर सकता है। इससे उपयोगकर्ताओं को गलत या दुर्भाग्यपूर्ण सामग्री सेवा की जा सकती है।

हमले का परिदृश्य:

1. एक हमलावर एक वेब एप्लिकेशन को एक हॉप-बाय-हॉप हेडर के साथ अनुरोध भेजता है जो कैश नहीं होना चाहिए (उदाहरण के लिए, Connection: close, Cookie).

2. खराब रूप से कॉन्फ़िगर किया गया कैश सर्वर हॉप-बाय-हॉप हेडर को हटाने में असफल रहता है और हमलावर के सत्र के लिए विशेष प्रतिक्रिया कैश करता है।

3. भविष्य के उपयोगकर्ताएं एक ही संसाधन का अनुरोध करते हैं जिसे हमलावर के लिए अनुकूलित किया गया था, जिससे सत्र हाइजैकिंग या संवेदनशील जानकारी का प्रकट हो सकता है।