ကျွန်ုပ်တို့အား ပြင်ပအဖွဲ့အစည်း တောင်းဆိုမှုများတွင် သပ်သပ်ရပ်ရပ်လုပ်ဆောင်နိုင်စေမည့် ရှေ့ဆုံး-နောက်-ဆုံးစနစ်များကို တိုက်ခိုက်ခြင်း။

ထုတ်ဖော်ခဲ့သည်။ အကြောင်းအရာပေးပို့ခြင်းကွန်ရက်များ၊ ချိန်ခွင်လျှာချပေးသည့်ကိရိယာများ သို့မဟုတ် ပရောက်စီများမှတစ်ဆင့် လုပ်ဆောင်နေသည့် ရှေ့ဆုံး-နောက်ကျောမော်ဒယ်ကို အသုံးပြုသည့် ဆိုက်များတွင် တိုက်ခိုက်မှုအသစ်၏ အသေးစိတ်အချက်အလက်များ။ တိုက်ခိုက်မှုသည် ရှေ့တန်းနှင့် နောက်တန်းကြားရှိ တူညီသောစာတွဲတွင် လုပ်ဆောင်ခဲ့သော အခြားတောင်းဆိုမှုများ၏ အကြောင်းအရာများကို သပ်ရပ်စေရန် အချို့သော တောင်းဆိုချက်များကို ပေးပို့ခြင်းဖြင့် တိုက်ခိုက်မှုကို ခွင့်ပြုသည်။ အဆိုပြုထားသည့်နည်းလမ်းကို PayPal ဝန်ဆောင်မှုအသုံးပြုသူများ၏ စစ်မှန်ကြောင်းအထောက်အထားပြဘောင်များကို ကြားဖြတ်တားဆီးနိုင်စေသည့် တိုက်ခိုက်မှုတစ်ခုအား အောင်မြင်စွာအသုံးပြုခဲ့ပြီး သုတေသီများအား ပရိုဂရမ်တစ်ခု၏တစ်စိတ်တစ်ပိုင်းအဖြစ် ဒေါ်လာ ၄၀,ဝဝဝ ခန့်ပေးချေခဲ့သည်။ တိုက်ခိုက်မှုသည် Akamai အကြောင်းအရာပေးပို့ခြင်းကွန်ရက်ကို အသုံးပြုသည့် ဝဘ်ဆိုက်များနှင့်လည်း သက်ဆိုင်ပါသည်။

ပြဿနာ၏ အဓိကအချက်မှာ ရှေ့တန်းများနှင့် နောက်ကွယ်မှများသည် HTTP ပရိုတိုကောအတွက် ပံ့ပိုးမှုအဆင့်အမျိုးမျိုးကို ပေးဆောင်လေ့ရှိသော်လည်း တစ်ချိန်တည်းတွင် မတူညီသောအသုံးပြုသူများထံမှ တောင်းဆိုချက်များကို ဘုံချန်နယ်တစ်ခုအဖြစ် ထည့်သွင်းထားသည်။ ရှေ့တန်းမှ လက်ခံတောင်းဆိုမှုများနှင့် နောက်ကွယ်မှ လုပ်ဆောင်နေသည့် တောင်းဆိုချက်များကို ချိတ်ဆက်ရန်အတွက် HTTP ပရိုတိုကောလ်နည်းလမ်းဖြင့် ပိုင်းခြားထားသော သုံးစွဲသူများ၏ တောင်းဆိုချက်များကို ပေးပို့ပြီး ကွင်းဆက်တစ်လျှောက် တစ်ခုပြီးတစ်ခု ထုတ်လွှင့်ပေးသည့် သက်တမ်းရှည် TCP ချိတ်ဆက်မှုကို တည်ဆောက်ထားသည်။ တောင်းဆိုချက်များကို ခွဲခြားရန်အတွက် ခေါင်းစီး "အကြောင်းအရာ-အရှည်" (တောင်းဆိုမှုတွင် အချက်အလက် စုစုပေါင်းအရွယ်အစားကို ဆုံးဖြတ်သည်) နှင့် "Transfer-Encoding- အပိုင်းပိုင်းဖြတ်ထားသည်။"(သင့်အား အပိုင်းများတွင် ဒေတာလွှဲပြောင်းရန် ခွင့်ပြုသည်၊ ဖော်မတ် "{size}\r\n{block}\r\n{size}\r\n{block}\r\n0")။

Frontend သည် "အကြောင်းအရာ-အရှည်" ကိုသာ ပံ့ပိုးပေးသော်လည်း "လွှဲပြောင်း-ကုဒ်နံပါတ်- အပိုင်းပိုင်း" (ဥပမာ၊ Akamai CDN သည် ဤကဲ့သို့လုပ်ဆောင်ခဲ့သည်) သို့မဟုတ် အပြန်အလှန်အားဖြင့် လျစ်လျူရှုပါက ပြဿနာဖြစ်ပေါ်လာပါသည်။ Transfer-Encoding- ကို နှစ်ဖက်စလုံးတွင် အပိုင်းလိုက် ပံ့ပိုးပါက၊ HTTP header parserers ၏ အကောင်အထည်ဖော်မှု အင်္ဂါရပ်များကို တိုက်ခိုက်မှုတစ်ခုအတွက် သုံးနိုင်သည် (ဥပမာ၊ ရှေ့ဆုံးမှ “Transfer-Encoding: xchunked”၊ “Transfer-Encoding- chunked ကဲ့သို့သော လိုင်းများကို ရှေ့ဆုံးမှ လျစ်လျူရှုသောအခါ၊ ”, “Transfer-Encoding”:[tab]အတုံးလိုက်အတုံးလိုက်လုပ်ခြင်း”, “X: X[\n]လွှဲပြောင်း-ကုဒ်နံပါတ်- အပိုင်းပိုင်းဖြတ်ထားသည်”၊ “လွှဲပြောင်း-ကုဒ်ပြောင်းခြင်း[\n]- အပိုင်းပိုင်း” သို့မဟုတ် “လွှဲပြောင်း-ကုဒ်ပြောင်းခြင်း : chunked” နှင့် backend သည် ၎င်းတို့ကို အောင်မြင်စွာ လုပ်ဆောင်ပါသည်။)

ဤကိစ္စတွင်၊ တိုက်ခိုက်သူသည် "အကြောင်းအရာ-အရှည်" နှင့် "လွှဲပြောင်း-ကုဒ်ဝှက်ခြင်း- အပိုင်းပိုင်းဖြတ်ထားသော" ခေါင်းစီးများပါရှိသော တောင်းဆိုချက်တစ်ခုကို ပေးပို့နိုင်သော်လည်း "အကြောင်းအရာ-အလျား" ရှိ အရွယ်အစားသည် အတုံးလိုက်သည့်ကွင်းဆက်၏ အရွယ်အစားနှင့် မကိုက်ညီပါ။ အမှန်တကယ်တန်ဖိုးထက် သေးငယ်သည်။ Frontend သည် "အကြောင်းအရာ-အရှည်" အရ တောင်းဆိုချက်ကို စီမံဆောင်ရွက်ပြီး ပေးပို့ခြင်းဖြစ်ပြီး၊ နောက်ခံသည် "လွှဲပြောင်း-ကုဒ်နံပါတ်- အပိုင်းပိုင်းဖြတ်ထားသည်" ကိုအခြေခံ၍ ဘလောက်ကို အပြီးသတ်ရန် စောင့်ဆိုင်းနေပါက၊ "လွှဲပြောင်း-ကုဒ်ဝှက်ခြင်း- chunked" ကို အခြေခံ၍ ဒေတာ၏အဆုံးသည် အစောပိုင်းတွင် ဆုံးဖြတ်ပြီး တိုက်ခိုက်သူသည် တောင်းဆိုချက်၏ ကျန်ရှိသော အမြီးပိုင်းသည် နောက်တောင်းဆိုမှု၏ အစတွင် ဖြစ်လိမ့်မည်၊ ဆိုလိုသည်မှာ၊ တိုက်ခိုက်သူသည် အခြားသူတစ်ဦး၏တောင်းဆိုမှု၏အစတွင် မထင်သလိုဒေတာများကို ပူးတွဲပေးပို့နိုင်မည်ဖြစ်သည်။

အသုံးပြုထားသော frontend-backend ပေါင်းစပ်မှုတွင် ပြဿနာကို ဆုံးဖြတ်ရန်၊ သင်သည် ဤကဲ့သို့သော တောင်းဆိုချက်ကို ရှေ့တန်းမှ ပေးပို့နိုင်သည်-

ပို့စ် / HTTP/1.1 အကြောင်း
လက်ခံဆောင်ရွက်ပေးသူ- example.com
Transfer-Encoding- အပိုင်းပိုင်းဖြတ်ထားသည်။
ပါဝင်သည့်အကြောင်းအရာ - ၂၄၇

1
Z
Q

နောက်ခံလူသည် တောင်းဆိုချက်ကိုချက်ချင်းမလုပ်ဆောင်နိုင်ဘဲ အတုံးလိုက်အတုံးလိုက်ဒေတာ၏နောက်ဆုံး သုညဘောင်သို့ရောက်ရှိရန် စောင့်ဆိုင်းပါက ပြဿနာရှိနေပါသည်။ ပိုမိုပြည့်စုံသောစစ်ဆေးမှုအတွက် ပြင်ဆင် ရှေ့တန်းမှ "လွှဲပြောင်း-ကုဒ်ပြောင်းခြင်း- chunked" ခေါင်းစီးကို ဝှက်ထားရန် ဖြစ်နိုင်ချေရှိသော နည်းလမ်းများကိုလည်း စမ်းသပ်သည့် အထူး utility တစ်ခု။

စစ်မှန်သောတိုက်ခိုက်မှုကို လုပ်ဆောင်ခြင်းသည် တိုက်ခိုက်ခံရသည့်ဆိုက်၏စွမ်းရည်များပေါ်တွင်မူတည်သည်၊ ဥပမာအားဖြင့်၊ Trello ဝဘ်အပလီကေးရှင်းကိုတိုက်ခိုက်သောအခါ၊ တောင်းဆိုချက်၏အစကို သင်အစားထိုးနိုင်သည် (“PUT /1/members/1234... x=x&csrf ကဲ့သို့သော အစားထိုးဒေတာ =1234&username=testzzz&bio=cake”) နှင့် ပြင်ပအဖွဲ့အစည်းအသုံးပြုသူ၏ မူလတောင်းဆိုချက်နှင့် ၎င်းတွင်ဖော်ပြထားသော အထောက်အထားစိစစ်ခြင်း Cookie အပါအဝင် မက်ဆေ့ချ်တစ်စောင် ပေးပို့ပါ။ saas-app.com တွင် တိုက်ခိုက်မှုအတွက်၊ ၎င်းသည် တောင်းဆိုမှုဘောင်များထဲမှ တစ်ခုကို အစားထိုးခြင်းဖြင့် တုံ့ပြန်မှုတွင် JavaScript ကုဒ်ကို အစားထိုးရန် ဖြစ်နိုင်သည်။ redhat.com တွင်တိုက်ခိုက်မှုအတွက်၊ တိုက်ခိုက်သူ၏ဝဘ်ဆိုဒ်သို့ ပြန်ညွှန်းရန် အတွင်းပိုင်းကိုင်တွယ်သူကို အသုံးပြုခဲ့သည် (“POST /search?dest=../assets/idx?redir=// ဖောင်၏တောင်းဆိုချက်တစ်ခု[အီးမေးလ်ကိုကာကွယ်ထားသည်]/ HTTP/1.1")။

အကြောင်းအရာပေးပို့ခြင်းကွန်ရက်များအတွက် နည်းလမ်းကိုအသုံးပြုခြင်းဖြင့် “Host:” ခေါင်းစီးကို အစားထိုးခြင်းဖြင့် တောင်းဆိုထားသောဆိုက်ကို ရိုးရှင်းစွာ အစားထိုးနိုင်စေခဲ့သည်။ တိုက်ခိုက်မှုသည် အကြောင်းအရာ ကက်ရှ်စနစ်များ၏ အကြောင်းအရာများကို အဆိပ်သင့်စေကာ သိမ်းဆည်းထားသည့် လျှို့ဝှက်ဒေတာကို ထုတ်ယူရန်အတွက်လည်း အသုံးပြုနိုင်သည်။ နည်းလမ်း၏ အထွတ်အထိပ်မှာ PayPal ကို တိုက်ခိုက်သည့် အဖွဲ့အစည်းဖြစ်ပြီး၊ အစစ်အမှန်စစ်ဆေးနေစဉ်အတွင်း အသုံးပြုသူများပေးပို့သော စကားဝှက်များကို ကြားဖြတ်နိုင်စေခြင်းဖြစ်သည် (paypal.com/us/gifts စာမျက်နှာတွင် JavaScript ကို လုပ်ဆောင်ရန်အတွက် iframe တောင်းဆိုမှုကို ပြုပြင်မွမ်းမံထားသည်၊ မည်သည့် CSP (အကြောင်းအရာ လုံခြုံရေးမူဝါဒ) ကို ကျင့်သုံးခဲ့သည်)။

စိတ်ဝင်စားစရာကောင်းတာက 2005 မှာ ရှိခဲ့တယ်။ အဆိုပြုသည်။ ကက်ရှ်ပရောက်စီများ (Tomcat၊ squid၊ mod_proxy) တွင် ဒေတာကို အတုအယောင်ပြုလုပ်ရန် ခွင့်ပြုသည့် မရှိမဖြစ်လိုအပ်သော အလားတူ အလားတူတောင်းဆိုမှု spoofing နည်းပညာသည် HTTP စက်ရှင်တစ်ခုအတွင်း တောင်းဆိုချက်များစွာကို သတ်မှတ်ခြင်းဖြင့် firewall ပိတ်ဆို့ခြင်းကို ရှောင်ကွင်းနိုင်သည်။

source: opennet.ru