Истраживачи са универзитета у Хамбургу и Келну
нова техника напада на мреже за испоруку садржаја и кеширање проксија - (Кеш-отрован ускраћивање услуге). Напад омогућава да приступ страници буде одбијен тровањем кеша.
Проблем је због чињенице да ЦДН-ови кеширају не само успешно завршене захтеве, већ и ситуације када хттп сервер враћа грешку. По правилу, ако постоје проблеми са формирањем захтева, сервер издаје грешку 400 (Лош захтев), једини изузетак је ИИС, који издаје грешку 404 (Није пронађено) за превелика заглавља. Стандард дозвољава само кеширање грешака са кодовима 404 (није пронађен), 405 (метод није дозвољен), 410 (нестао) и 501 (није имплементиран), али неки ЦДН-ови такође кеширају одговоре са кодом 400 (лош захтев), што зависи на упућени захтев.
Нападачи могу проузроковати да изворни ресурс врати грешку „400 Бад Рекуест“ слањем захтева са ХТТП заглављима форматираним на одређени начин. ЦДН не узима у обзир ова заглавља, тако да ће информације о немогућности приступа страници бити кеширане, а сви остали важећи кориснички захтеви пре истека временског ограничења могу довести до грешке, упркос чињеници да оригинални сајт приказује садржај без икаквих проблема.
Предложене су три опције напада како би се ХТТП сервер натерао да врати грешку:
- ХМО (ХТТП Метход Оверриде) – нападач може да замени оригиналну методу захтева преко заглавља „Кс-ХТТП-Метход-Оверриде“, „Кс-ХТТП-Метход“ или „Кс-Метход-Оверриде“, које неки сервери подржавају, али није узето у обзир у ЦДН . На пример, можете променити оригинални метод „ГЕТ“ у метод „ДЕЛЕТЕ“, који је забрањен на серверу, или метод „ПОСТ“, који није применљив за статику;
- ХХО (ХТТП Хеадер Оверсизе) - нападач може изабрати величину заглавља тако да премашује ограничење изворног сервера, али не спада у ограничења ЦДН-а. На пример, Апацхе хттпд ограничава величину заглавља на 8 КБ, а Амазон Цлоудфронт ЦДН дозвољава заглавља до 20 КБ;
- ХМЦ (ХТТП Мета Цхарацтер) – нападач може да убаци посебне знакове у захтев (\н, \р, \а), који се сматрају неважећим на изворном серверу, али се игноришу у ЦДН-у.
Најподложнији нападима био је ЦлоудФронт ЦДН који користе Амазон Веб Сервицес (АВС). Амазон је сада решио проблем тако што је онемогућио кеширање грешака, али је истраживачима требало више од три месеца да додају заштиту. Проблем је такође утицао на Цлоудфларе, Варнисх, Акамаи, ЦДН77 и
Брзо, али напад преко њих је ограничен на циљне сервере који користе ИИС, АСП.НЕТ, и . , да би 11% домена Министарства одбране САД, 16% УРЛ-ова из базе података ХТТП архиве и око 30% од 500 најбољих веб локација које је рангирала Алека потенцијално могли бити предмет напада.
Као решење за блокирање напада на страни сајта, можете користити заглавље „Кеш-Контрола: без продавнице“, које забрањује кеширање одговора. У неким ЦДН-овима, нпр.
ЦлоудФронт и Акамаи, можете да онемогућите кеширање грешака на нивоу подешавања профила. За заштиту можете користити и заштитне зидове за веб апликације (ВАФ, заштитни зид веб апликација), али они морају бити имплементирани на ЦДН страни испред хостова за кеширање.
Извор: опеннет.ру