Panaliti ti Universitas Hamburg sareng Cologne
Téhnik serangan anyar dina jaringan pangiriman eusi sareng proxy cache - (Cache-Racun Panolakan-of-Service). Serangan ngamungkinkeun aksés ka halaman pikeun ditolak ku karacunan cache.
Masalahna nyaeta alatan kanyataan yén CDNs cache teu ngan hasil réngsé requests, tapi ogé kaayaan nalika server http balik kasalahan. Sakumaha aturan, upami aya masalah sareng ngabentuk pamundut, server ngaluarkeun kasalahan 400 (Bad Request); hiji-hijina iwal nyaéta IIS, anu ngaluarkeun kasalahan 404 (Teu Kapanggih) pikeun header anu ageung teuing. Standar ieu ngan ukur ngamungkinkeun kasalahan sareng kode 404 (Teu Kapendak), 405 (Metoda Teu Diidinan), 410 (Ical) sareng 501 (Teu Dilaksanakeun) tiasa di-cache, tapi sababaraha CDN ogé ngaréspon cache kalayan kode 400 (Paménta Bad), anu gumantung. dina pamundut dikirim.
Attackers bisa ngabalukarkeun sumberdaya aslina balik a "400 Bad Request" kasalahan ku ngirim pamundut kalawan headers HTTP formatna dina cara nu tangtu. Header ieu henteu diperhatoskeun ku CDN, ku kituna inpormasi ngeunaan henteu mampuh ngaksés halaman éta bakal di-cache, sareng sadaya pamundut pangguna anu sah sateuacan waktos béakna tiasa nyababkeun kasalahan, sanaos kanyataan yén situs asli nyayogikeun eusi. tanpa masalah.
Tilu pilihan serangan parantos diajukeun pikeun maksa server HTTP pikeun mulangkeun kasalahan:
- HMO (Metode HTTP Override) - panyerang tiasa nimpa metode pamundut asli ngalangkungan header "X-HTTP-Method-Override", "X-HTTP-Method" atanapi "X-Method-Override", dirojong ku sababaraha server, tapi teu dianggap dina CDN. Salaku conto, anjeun tiasa ngarobih metode "GET" asli kana metode "DELETE", anu dilarang dina server, atanapi metode "POST", anu henteu tiasa dianggo pikeun statika;
- HHO (HTTP Header Oversize) - panyerang tiasa milih ukuran lulugu supados ngaleuwihan wates pangladén sumber, tapi henteu kalebet dina larangan CDN. Contona, Apache httpd ngawatesan ukuran lulugu nepi ka 8 KB, sarta Amazon Cloudfront CDN ngamungkinkeun lulugu nepi ka 20 KB;
- HMC (HTTP Meta Character) - panyerang bisa ngasupkeun karakter husus kana pamundut (\n, \r, \a), nu dianggap teu valid dina server sumber, tapi teu dipaliré dina CDN.
Anu paling rentan diserang nyaéta CloudFront CDN anu dianggo ku Amazon Web Services (AWS). Amazon ayeuna parantos ngalereskeun masalah ku cara nganonaktipkeun cache kasalahan, tapi peryogi panaliti langkung ti tilu bulan pikeun nambihan panyalindungan. Masalahna ogé mangaruhan Cloudflare, Varnish, Akamai, CDN77 sareng
Gancang, tapi serangan ngalangkungan aranjeunna dugi ka target server anu nganggo IIS, ASP.NET, и . , éta 11% tina domain AS Departemen Pertahanan, 16% tina URL ti database HTTP Arsip sarta ngeunaan 30% tina 500 situs panggedena rengking ku Alexa berpotensi jadi tunduk kana serangan.
Salaku workaround pikeun meungpeuk serangan di sisi situs, anjeun tiasa nganggo "Cache-Control: no-toko" lulugu, nu prohibits respon cache. Dina sababaraha CDNs, misalna.
CloudFront sareng Akamai, anjeun tiasa nganonaktipkeun cache kasalahan dina tingkat setélan profil. Pikeun panangtayungan, anjeun ogé tiasa nganggo firewall aplikasi wéb (WAF, Firewall Aplikasi wéb), tapi kedah dilaksanakeun di sisi CDN payuneun host cache.
sumber: opennet.ru