Investigatores ab Universitatibus Hamburgensi et Coloniensi
nova ars oppugnandi retiacula et partus contentus proxies caching - (Cache-Poisoned Denial-of-Service). Oppugnatio permittit aditum ad paginam per veneficii cache.
Problema refertur ad CDNs cache non solum petitiones feliciter peractas, sed etiam condiciones cum error servo reddit. Pro regula, in quaestionibus cum petitionibus formationis, minister errorem 400 (Malum Request) prodit, sola exceptio IIS est, quae errorem 404 (Not Found) erroris in praegrandibus capitibus praebet. Vexillum admittit tantum 404 (Not Found), 405 (Method Non Licitum), 410 (Ge) et 501 (Not Implemented) errores conditivos, sed nonnulla CDNs etiam 400 (Responsoria Bad) quae pendent ex rogatu misso. .
Impugnatores errorem "400 Mala Request" reddi potest in subsidio originali mittendo petitionem cum specialiter destinatis HTTP capitis. Hi capitis a CDN non computantur, ideo informationes de impossibilitate paginae accessionis conditivo erunt, et omnes aliae petitiones usoris validae antequam tempus exit in errorem inveniatur, non obstante quod fons situs contentum reddit. sine ullis quaestionibus.
Ut servo HTTP ut errorem compelleret, tres optiones oppugnationis propositae sunt;
- HMO (HTTP Methodus Override) - invasor instantiae primae methodi per "X-HTTP-Method-Override", "X-HTTP-Method" vel "X-Method-Override" caput capitis quibusdam ministris sustinetur, sed non consideratur in CDN. Exempli gratia, mutare potes methodum originalem "GET" ad modum "DELETE", quod prohibetur in servo vel "post" methodum quae pro staticis non competit;
- HHO (HTTP Header Oversize) - Invasor capitis magnitudinem eligere potest ita ut limitem fontis servientis excedat, sed sub CDN restrictiones non cadit. Exempli gratia, Apache fines capitis magnitudinum ad 8 KB limites, cum Amazon Cloudfront CDN permittit caput capitis usque ad 20 KB;
- HMC (HTTP Character Meta) - impugnans characteres speciales (\n, \r, \a) substituere potest in petitione, quae irritae habentur in servo fonte, sed neglecta in CDN.
CDN CloudFront in Amazon Web Services (AWS) evasit valde obnoxius esse oppugnationi. Amazon errorem prohibendo caching quaestionem nunc statuit, sed investigatores plus tres menses ad praesidium additum accepit. Eventus etiam Cloudflare, Varnish, Akamai, CDN77 et . affectus est
Celeriter, sed impetus per eos limitatur ad scopum servientibus utentibus IIS, ASP.NET, и . 11% of US Department of Defensio ditionum, 16% URLs ex HTTP Archive datorum, et circiter 30% locorum 500 situs ab Alexa aestimatos potenter impugnari potuit.
Cum habemus circumitu ad oppugnationem in latere situs interclusionis, "Cache-Control: sine-copia" capitis uti potes, quod responsionem caching vetat. Quidam CDNs, ut
CloudFront et Akamai, vos can disable error caching in the profile settings level. Ad tutelam, firewalls etiam pro applicationibus interretialibus (WAF, Web Application Firewall) uti potes, sed in CDN parte ante exercitus cachingum deduci debent.
Source: opennet.ru