Watafiti kutoka Vyuo Vikuu vya Hamburg na Cologne
mbinu mpya ya kushambulia kwenye mitandao ya uwasilishaji wa maudhui na proksi za akiba - (Cache-Sumu Kunyimwa-ya-Huduma). Shambulio hilo huruhusu ufikiaji wa ukurasa kukataliwa kupitia cache sumu.
Tatizo ni kutokana na ukweli kwamba cache ya CDN sio tu kukamilika kwa maombi kwa ufanisi, lakini pia hali wakati seva ya http inarudi kosa. Kama sheria, ikiwa kuna shida na kuunda ombi, seva hutoa hitilafu 400 (Ombi Mbaya); isipokuwa tu IIS, ambayo hutoa hitilafu 404 (Haipatikani) kwa vichwa vikubwa sana. Kiwango kinaruhusu tu makosa na misimbo 404 (Haijapatikana), 405 (Njia Hairuhusiwi), 410 (Imekwenda) na 501 (Haijatekelezwa) kuhifadhiwa, lakini baadhi ya CDN pia huhifadhi majibu kwa msimbo 400 (Ombi Mbaya), ambayo inategemea. kwa ombi lililotumwa.
Wavamizi wanaweza kusababisha rasilimali asili kurudisha hitilafu ya "Ombi Mbaya 400" kwa kutuma ombi lenye vichwa vya HTTP vilivyoumbizwa kwa njia fulani. Vijajuu hivi havizingatiwi na CDN, kwa hivyo maelezo kuhusu kutoweza kufikia ukurasa yatawekwa akiba, na maombi mengine yote halali ya mtumiaji kabla ya muda kuisha yanaweza kusababisha hitilafu, licha ya ukweli kwamba tovuti ya awali hutumikia maudhui. bila matatizo yoyote.
Chaguzi tatu za mashambulizi zimependekezwa ili kulazimisha seva ya HTTP kurudisha hitilafu:
- HMO (Ubatilishaji wa Mbinu ya HTTP) - mshambulizi anaweza kubatilisha mbinu ya ombi asili kupitia "X-HTTP-Method-Override", "X-HTTP-Method" au "X-Method-Override" vichwa, vinavyoungwa mkono na baadhi ya seva, lakini haijazingatiwa katika CDN. Kwa mfano, unaweza kubadilisha njia ya asili ya "GET" hadi njia ya "FUTA", ambayo ni marufuku kwenye seva, au njia ya "POST", ambayo haitumiki kwa tuli;
- HHO (HTTP Header Oversize) - mshambulizi anaweza kuchagua ukubwa wa kichwa ili kuzidi kikomo cha seva ya chanzo, lakini haingii ndani ya vikwazo vya CDN. Kwa mfano, Apache httpd inaweka mipaka ya ukubwa wa kichwa hadi 8 KB, na Amazon Cloudfront CDN inaruhusu vichwa hadi KB 20;
- HMC (HTTP Meta Character) - mshambulizi anaweza kuingiza herufi maalum kwenye ombi (\n, \r, \a), ambazo huchukuliwa kuwa batili kwenye seva chanzo, lakini zimepuuzwa katika CDN.
Iliyokuwa inashambuliwa zaidi ilikuwa CloudFront CDN inayotumiwa na Amazon Web Services (AWS). Amazon sasa imerekebisha shida kwa kuzima uhifadhi wa makosa, lakini ilichukua watafiti zaidi ya miezi mitatu kuongeza ulinzi. Suala hilo pia liliathiri Cloudflare, Varnish, Akamai, CDN77 na
Haraka, lakini shambulio kupitia kwao ni mdogo kwa seva zinazolenga zinazotumia IIS, ASP.NET, и . , kwamba 11% ya vikoa vya Idara ya Ulinzi ya Marekani, 16% ya URL kutoka kwa hifadhidata ya Kumbukumbu ya HTTP na takriban 30% ya tovuti 500 kubwa zaidi zilizoorodheshwa na Alexa zinaweza kushambuliwa.
Kama suluhu ya kuzuia shambulio kwenye upande wa tovuti, unaweza kutumia kichwa cha "Cache-Control: no-store", ambacho kinakataza uakibishaji wa majibu. Katika baadhi ya CDN, k.m.
CloudFront na Akamai, unaweza kuzima uhifadhi wa hitilafu katika kiwango cha mipangilio ya wasifu. Kwa ulinzi, unaweza pia kutumia ngome za programu za wavuti (WAF, Firewall ya Maombi ya Wavuti), lakini lazima zitekelezwe kwa upande wa CDN mbele ya wapangishi wa akiba.
Chanzo: opennet.ru