forum.opennet.ru

"Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

"Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы"	+/–
Сообщение от opennews (??), 07-Авг-21, 12:32
Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту атаки "HTTP Request Smuggling", позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом, обхода систем ограничения доступа и перехвата параметров аутентификации... Подробнее: https://www.opennet.me/opennews/art.shtml?num=55601
Ответить \| Правка \| Cообщить модератору

Оглавление

Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы, opennews, 07-Авг-21, 12:32 [смотреть все]

Ой, ну надо же, http взломали, как удивительно Нет , Аноним, 07-Авг-21, 12:32 (1) //
- Ой, ну надо же отключать JS , Аноним, 07-Авг-21, 18:05 (28) //
  - Идея хорошая, но вебмакаки понаделали js-only крапа И кстати это не поможет от , Аноним, 08-Авг-21, 12:32 (83)
- интересно кто самый дырявый - си или js, хакер, 07-Авг-21, 19:57 (33) //
  - прокладку не рассматриваешь а ник у тебя - просто лэйбла такая , ананим.orig, 07-Авг-21, 20:52 (42) //
    - Скорее всего проблема в помойке node репо библиотек для JS и культуре коммерческ, And, 08-Авг-21, 11:53 (71)
      - А может быть проблема в том что не надо код писать ж пой, качая половину интерне, Аноним, 08-Авг-21, 12:37 (86)
Http на rust надо переписать очевидно же , Anonymouse, 07-Авг-21, 12:36 (2) //
- как же вы затрахали со своими шуточками, которые заходят через раз местному хомя, OnTheEdge, 07-Авг-21, 12:40 (4) //
  - Согласен, это уже похоже на шутеечки от Вася с 6 класса из школы интерната Подол, Аноним, 07-Авг-21, 13:34 (16) //
    - При чем тут шутеечки Rust - современный язык программирования с безопасным упра, Аноним, 07-Авг-21, 13:49 (19)
- Тебя бы тоже не мешало на Rust переписать, Admin, 07-Авг-21, 13:40 (17)
Уродство HTTP 2 таки выстрелило То ли ещё будет с HTTP много, которые вообще не , Онаним, 07-Авг-21, 12:38 (3) //
- Так-то выстрелило уродство HTTP1, если почитать новость , Аноним, 07-Авг-21, 13:08 (11) //
  - Выстрелило уродство трансляции полубинарного уродства SPDY в HTTP , Онаним, 07-Авг-21, 13:15 (14) //
    - О да, лучше нормальный plain-text HTTP, от которого, правда, все отказались в по, Аноним, 07-Авг-21, 14:53 (22)
      - Да-да-да, стройными колоннами побежали и отказались, никто не стимулировал , Michael Shigorin, 07-Авг-21, 19:13 (30)
        
        А кто стимулировал Серваки заимплементившие фичу и повышение скорости загрузки , Аноним, 08-Авг-21, 12:39 (87)
        
        Verisign, без вопросов отбирающий домены у оппозиционных СМИ Cloudflare, который, Аноним, 08-Авг-21, 14:32 (120)
        
        Это как И что этим СМИ мешает хостить сайты где-нибудь подальше от такой фирмы,, Аноним, 09-Авг-21, 04:09 (128)
      - Внутри хытыпысы внезапно всё тот же гипертекстовый фидонет , Онаним, 07-Авг-21, 20:43 (39)
        
        То есть, если внутри бинарного кода буквы, то он уже не бинарный Ну тогда и HTT, Аноним, 08-Авг-21, 01:22 (53)
        
        Ты не понял SSL при обработке 1 1 разворачивается до исходного протокола, являя, Онаним, 08-Авг-21, 09:16 (59)
        
        То есть, если я в SNI напишу левое имя хоста, это никак не повлияет на работу HT, Аноним, 08-Авг-21, 12:27 (81)
        
        Нет Только на согласование соединения HTTP внутри декриптится до исходного в лю, Онаним, 08-Авг-21, 13:39 (105)
        
        Получается, SNI на практике ни на что не влияет, а значит - вообще не нужен Вот , Аноним, 08-Авг-21, 14:13 (114)
        
        Сфейспалмил SNI к HTTP - ВНЕЗАПНО - не имеет никакого отношения D, Онаним, 08-Авг-21, 19:29 (123)
        
        Веб сервак может иметь свое мнение на этот счет И кстати интересно, не вылезет , Аноним, 09-Авг-21, 04:12 (129)
        Веб сервак обычно только правильный сертификат подбирает, смотря на SNI , Аноним, 09-Авг-21, 12:19 (142)
        
        Не обязательно См пример на том сайте как это bitbucket делал, там могли бэку , Аноним, 08-Авг-21, 13:32 (102)
        
        Подшивать к TLS можно чего угодно - проблемы ССЗБ шерифа не волнуют Важно то, чт, Онаним, 08-Авг-21, 13:40 (106)
        
        Однако вон те хаксоры вполне себе стырили внутренние хидеры и в конце концов тож, Аноним, 09-Авг-21, 04:15 (130)
        
        А вот из H2 H1 простой трансформацией уже не получить, что и есть источник пробл, Онаним, 08-Авг-21, 13:41 (107)
        
        Для преобразования HTTP 2 же в HTTP 1 по сути требуется полная реконструкция, пр, Онаним, 08-Авг-21, 09:17 (60)
        
        Именно А разрабы попытались таки не делать нормально и попробовали частично 2 о, And, 08-Авг-21, 11:56 (72)
        
        Ну да, казалось бы должна была быть просто трансформация, потому что разработан, Онаним, 08-Авг-21, 12:00 (74)
      - всех отказали тогда уж не переживай, будет и 3-я, и 4-я волна это же удобно , ананим.orig, 07-Авг-21, 20:56 (43)
  - Это рукожопость разработчиков прокси ибо такие атаки очевидны и им сразу же нужн, all_glory_to_the_hypnotoad, 07-Авг-21, 17:03 (25) //
    - Это рукожопость разработчиков бинарного протокола, которые решили, что те же CRL, Онаним, 07-Авг-21, 20:44 (40)
      - упреждая угу, бинарному протоколу фиолетово но забыли о сути HTTP - передача , Онаним, 07-Авг-21, 20:46 (41)
        
        Для эпичного ламо намекну там упомянуты варианты этих атак работающие на чистом, Аноним, 08-Авг-21, 12:45 (89)
  - Если уж совсем просто - H2 не стоило называть HTTP 2, это не HTTP , Онаним, 08-Авг-21, 13:43 (108)
- Вообще-то там текстовость HTTP 1 1 дурят жестко и это проблема HTTP1 А если тот , Аноним, 08-Авг-21, 12:44 (88) //
  - H2 на бэках конкретно у нас упорно не приживается Основная причина - возможность, Онаним, 08-Авг-21, 13:36 (104) //
    - Жирные корпы тоже, вот, думали сэкономить Некоторые даже конопатили эти CVE раз, Аноним, 09-Авг-21, 04:37 (131)
Т е они одним сплошным потоком байтов слали подряд разные запросы а потом надея, Аноним, 07-Авг-21, 12:42 (5) //
- они читали много статей где п-делось о страшных и ужастных ЗАДЕРЖКАХ при открыти, пох., 07-Авг-21, 12:49 (6) //
  - так разве для HTTP 1 0 не открывается новое соединение на каждый запрос или это , kissmyass, 07-Авг-21, 20:14 (35) //
    - Открытие соединения по сравнению с ожиданием ответа от серверов - копеечная опер, Онаним, 07-Авг-21, 20:43 (38)
      - ну тогда либо прокси должен валидировать HTTP заголовки либо пусть форсит открыт, kissmyass, 07-Авг-21, 21:56 (47)
        
        Многие проморгали, потому что гугели свой SPDY в виде H2 запихивали в индустрию , Онаним, 08-Авг-21, 09:49 (63)
        
        Дело тут не в открытых сессиях сессии надо и в QUIC отслеживать, то есть это не, anonymous, 08-Авг-21, 11:57 (73)
      - причем и то и другое копеечные операции по сравнению с ожиданием модного-совреме, пох., 08-Авг-21, 11:05 (64)
        
        Не, ну там основной идеей вмазывалось мыжыможым статический коньтент подгрузить, Онаним, 08-Авг-21, 11:15 (65)
        
        ЗАДЕРЖКИ уминядвепалоски то что они миллисекундные на фоне _секунд_ как, пох., 08-Авг-21, 11:26 (69)
        
        И тем не менее, кпд канала может получиться довольно издевательским Особенно ес, Аноним, 09-Авг-21, 04:41 (132)
        
        Самое же прекрасное, что у этих же почитателей смузи в итоге статический коньтен, Онаним, 08-Авг-21, 11:16 (66)
        
        и вот там уже задержки вполне видны, поскольку это новая tls сессия на каждый jq, пох., 08-Авг-21, 11:24 (68)
      - Не совсем Ведет к выделению ресурсов на сокет в операционке, а закретие соедине, Аноним, 08-Авг-21, 12:48 (90)
        
        Ну я как бы в курсе, в практике и 1000 запросов в секунду на динамику - не преде, Онаним, 08-Авг-21, 13:31 (101)
        
        Теоретически да Практически - установка и завершение TCP все же не халявные, и , Аноним, 09-Авг-21, 04:47 (133)
        
        Про chunked пожалуй соглашусь, данное счастье требует некоторой аккуратности С д, Онаним, 08-Авг-21, 13:34 (103)
        
        Это судя по виду лишь усиленная и заапгрейженая версия атак которые они на HTTP , Аноним, 09-Авг-21, 04:48 (134)
Полное вымирание сайтов http - вопрос времени, Аноним, 07-Авг-21, 12:52 (7) //
- Они как умные клавы решили смухлевать и прицепить HTTP 1 бэк малой кровью При т, Аноним, 08-Авг-21, 12:56 (91)
Слишком много букав , Аноним, 07-Авг-21, 12:57 (8) //
- Погодите, через недельку для специально для олдовых админов выйдет хайпово-клипо, Аноним, 07-Авг-21, 14:55 (23)
Радует пока одно у меня на фронтах немолодёжный haproxy, новый парсер которого , Онаним, 07-Авг-21, 12:59 (9) //
- нет ножек ненужно 2 - нет проблемы P S обратить внимание на нашествие в комме, пох., 07-Авг-21, 13:04 (10) //
  - Я бы им вместо http sip с rtp посоветовал, но жалко бедняжек , Онаним, 07-Авг-21, 13:13 (12)
  - Фига, пох сам себя, затарил, не в бровь а в глаз , Аноним, 08-Авг-21, 13:28 (100)
- Переходи на Traefik, Alexey Chernyavskiy, 07-Авг-21, 19:14 (31) //
  - Пасибо, я столько смузи в одно рыло не сожру , Онаним, 07-Авг-21, 20:40 (37) //
    - тогда переходи на Envoy, онанимус, 07-Авг-21, 23:01 (48)
      - Не, там думать надо , Аноним, 08-Авг-21, 01:20 (52)
      - Когда смузихлёбы добираются до C - у них выходит ещё хуже, чем если бы они на св, Онаним, 08-Авг-21, 09:22 (61)
        
        Разработчики haproxy с вами не согласятся, судя по тому, что они пилят dataplane, Аноним, 08-Авг-21, 12:30 (82)
      - Абсолютно угрёбищный конфиг умноженный на абсолютно угрёбищную документацию - да, Онаним, 08-Авг-21, 09:24 (62)
        
        Когда-нибудь вы уйдёте в High Load и в такой, где нужны submillisecond ответы от, anonymous, 08-Авг-21, 12:02 (75)
        
        Не жрите больше столько, умоляю High Load - это не субмиллисекундные ответы, да, Онаним, 08-Авг-21, 12:12 (79)
        Но да, раз уж мы заговорили о хайлоудах - я прекрасно знаю как оно у смузихлёбов, Онаним, 08-Авг-21, 12:24 (80)
        
        У микросервисов есть ряд очевидных плюсов Как то декомпозиция задачи и перевод , Аноним, 08-Авг-21, 13:25 (97)
        
        Да, большой монолит сложнее поддерживать Но жесть в том, что менять рост сложно, Онаним, 08-Авг-21, 13:48 (109)
        
        Он склонен превращаться в большое месиво Которое к тому же скорее всего больше , Аноним, 09-Авг-21, 04:55 (135)
        
        короче я мыслью по древу растёкся, но основная мысль была в том, что овердекомп, Онаним, 08-Авг-21, 13:49 (110)
        
        Для проектов уровня приветмир интернет-магазина Васян сейлз - да Как говори, Аноним, 08-Авг-21, 14:44 (121)
        
        Программа перестаёт быть простой и маленькой ровно тогда, когда она становится с, айпони одобряет микросервисы, 09-Авг-21, 15:52 (143)
        
        Не ясно, в чём разница со стороны логики приложения, сравнивая stdin stdout межд, Аноним, 09-Авг-21, 21:37 (147)
        
        Разница как раз в той самой latency, с которой потом героически начинают боротьс, Онаним, 17-Авг-21, 20:24 (160)
        
        До декомпозиции на микросервисы была декомпозиция на отдельные взаимодействующие, www2, 10-Авг-21, 08:20 (152)
        
        Сам вопрос уже некорректен, потому что из тысячи мелконедосервисов получится два, Онаним, 17-Авг-21, 20:25 (161)
        Микросервисы - это попытка хоть как-то разрулить поделки обезьянок-неосиляторов , Онаним, 17-Авг-21, 20:26 (162)
        
        Это надо внести в луддитско-свитеро-бородные анналы , gvx, 08-Авг-21, 15:13 (122)
        
        Монолиты разные бывают Можно каждые 2 2 в микросервис вытягивать А можно целый к, Онаним, 08-Авг-21, 19:50 (127)
        
        Вот только envoy тут не при чем Он - в основном про возможность конфигурировани, Аноним, 08-Авг-21, 12:32 (84)
        
        Да и haproxy в рантайме нормально реконфигурится, если уж честно-то Кое-что можн, Онаним, 08-Авг-21, 13:26 (98)
        
        Нет Достаточно переконфигурировать хотя бы несколько раз в секунду вполне типи, Аноним, 08-Авг-21, 14:10 (112)
        
        s бэкендов серверов в бэкенде , конечно же , Аноним, 08-Авг-21, 14:10 (113)
        
        Количество слотов да, но вот это как раз дёргается через реконфиг, если ОЧЕНЬ на, Онаним, 08-Авг-21, 19:36 (125)
        
        Раз в секунду Как правило если такое начало требоваться - самое время что-то в к, Онаним, 08-Авг-21, 19:30 (124)
        А зачем это менять раз в секунду Чтобы прострелить себе пятку, а потом продать , Аноним, 09-Авг-21, 04:59 (136)
        
        Могли бы и не повторять, выше же написаноЕсли что-то по своей сложности превосхо, Аноним, 08-Авг-21, 12:35 (85)
        
        В новости про атаки - примерно так Чем сложнее и оверинженернутее нечто, тем бо, Аноним, 08-Авг-21, 13:21 (96)
        
        Примерно да Оверинжениринг и овердекомпозиция кажутся простыми на этапе первичн, Онаним, 08-Авг-21, 13:51 (111)
        
        Сам по себе HTTP 2 в этом плане кстати не такой уж оверинженернутый, хотя mandat, Аноним, 09-Авг-21, 05:07 (138)
        
        Но эволюция, а впоследствии - и прогресс, почему-то упорно порождают все более у, Аноним, 08-Авг-21, 14:21 (116)
        
        состоящие из простых систем Отказ каждой из которых в отдельности вообще пох, Аноним, 09-Авг-21, 05:05 (137)
        
        Оно именно что не по сложности превосходит, а по угрёбищности То есть мнимая сло, Онаним, 08-Авг-21, 13:28 (99)
        
        Ну, для вас, похоже, 1 1 - норм, 2 2 - сложно, а 2 3 - угрёбищно А уж 5 6 вообще, Аноним, 08-Авг-21, 14:16 (115)
        
        В случае смузихлёбов я бы поставил на скачивание лефтпада для 1 1 и 2 2, а в слу, Онаним, 08-Авг-21, 19:38 (126)
        
        ---От учащихся старших школ high schools, аналог наших старших классов средней , Michael Shigorin, 10-Авг-21, 21:54 (153)
        
        Ссылка на производное ботофермы, которое маскируется под другого пользователя - , Онаним, 10-Авг-21, 23:17 (154)
      - Охренеть, плюсовики хайпуют Явно покусаные гуглем - include stdbullshit и да, Аноним, 08-Авг-21, 13:12 (92)
- Поздравляю вас с этим, и рекомендую немедленно обновитьсяhttps git haproxy org, Аноним, 17-Авг-21, 19:10 (156) //
  - У меня за фронтом такой же не менее немолодёжный H1, поэтому меня эти пляски с у, Онаним, 17-Авг-21, 20:05 (157)
  - Хотя конечно да, есть определённый мысли вообще убрать ALPN h2 с фронтов, ибо не, Онаним, 17-Авг-21, 20:06 (158) //
    - определённый позыв определённые мысли, Онаним, 17-Авг-21, 20:07 (159)
Оверинженеринг в действии, Отражение луны, 07-Авг-21, 13:14 (13) //
- Это как раз недоинженеринг, т е когда осилили работу с простым протоколом HTTP , all_glory_to_the_hypnotoad, 07-Авг-21, 17:06 (26) //
  - HTTP 1 вообще более сложен в проверках и sanity check В том числе и из-за специ, Аноним, 08-Авг-21, 13:13 (93)
- Больше похоже на идиотизм тащить части старого протокола в новый протокол Нару, And, 08-Авг-21, 12:03 (78) //
  - Они настолько понимали, что по ывали даже и чистый HTTP 1 1 используя разное ег, Аноним, 08-Авг-21, 13:18 (95) //
    - Между фронтом и бэком и на ф и на б как раз не было знавших и понимавших, или , Аноним, 08-Авг-21, 14:26 (117)
      - Более вероятно что 1 Это были 2 тотально разные команды, плохо или никак взаи, Аноним, 09-Авг-21, 05:28 (141)
Ну так нгингс подвержен или нет Где исправления , Аноним, 07-Авг-21, 13:19 (15) //
- Если я правильно прочитал changelog к 1 21 1, то это как раз оно http nginx or, edo, 07-Авг-21, 13:41 (18) //
  - Проверил на Nginx 1 20 не включающем правки от 6 июля заголовок Transfer-Enco, Sage, 08-Авг-21, 03:32 (55) //
    - чем генерировали запросы curl ом у меня не всё получается, edo, 08-Авг-21, 04:46 (57)
      - На скорую руку отредактировал бинарник курла и libcurl-4 dll, заменив там первую, Sage, 08-Авг-21, 11:19 (67)
        
        Ммм хакир Т е HTTP 2 стал внаглую рассылать Transfer-Encoding как HTTP 2, Аноним, 09-Авг-21, 05:23 (140)
Теперь все будут топить за закопать http и перейти на websocket , Аноним, 07-Авг-21, 15:52 (24) //
- WebSocket работает поверх HTTP , anonymous, 08-Авг-21, 12:03 (77)
Не волйнутесь, сейчас Гугл быстренько придумает HTTP3 ой, нет, наверное уже HT, Kuromi, 07-Авг-21, 17:35 (27) //
- Хуавей уже замену TCP IP придумал Этакий зомбоящик получается , Разбойник, 07-Авг-21, 18:37 (29) //
  - мертворожденная шляпа, kissmyass, 07-Авг-21, 20:21 (36) //
    - это тебе, живущему в свободной стране, так кажется а в Китае взлетит , онанимус, 07-Авг-21, 23:03 (49)
      - Ну так там цели иные, нежели связность и удобство А в условиях адекватных целей , Онаним, 08-Авг-21, 12:02 (76)
  - Так же как они заменили Андроид , Kuromi, 07-Авг-21, 23:25 (50)
- Такими темпами скоро перейдут на 6-недельные релизы, синхронно с Хромом Циферки, Anonn, 08-Авг-21, 03:43 (56) //
  - Вообще-то у них уже 4-недельный цикл, Аноним, 08-Авг-21, 07:51 (58)
KeepAlive Off на бэкенде спасет отца русской демократии , Alex_K, 07-Авг-21, 21:16 (44) //
- Да, Жа спасет, можешь спать спокойно , Анончик, 07-Авг-21, 23:38 (51)
HTTP2 нинужно, vitalif, 08-Авг-21, 02:04 (54)
javascript макак как обычно взламывают даже без использования уязвимостей неправ, Аноним, 08-Авг-21, 11:29 (70) //
- А тут, внезапно, не в js макаках проблема , Аноним, 08-Авг-21, 13:16 (94) //
  - Ну, если бы они осилили http2 createServer, то последствий их рукоблудия перечис, Аноним, 08-Авг-21, 14:26 (118)
  - Как раз в них Фронт и бэк - две группы разработки, работающие в тесном сотрудни, Аноним, 08-Авг-21, 14:31 (119) //
    - Эта проблема может возникнуть даже в проектах никак не использующих JS, и вообще, Аноним, 09-Авг-21, 05:16 (139)
      - А то, что видение мира у JS-смузихлёбов отбито по самое не балуй, тебя не смущае, айпони одобряет микросервисы, 09-Авг-21, 15:58 (144)
        
        Так оно же не только у них отбито Вон какие-нибудь питонисты или даже хрустики , Аноним, 10-Авг-21, 07:07 (151)
вебня такая вебня, Аноним, 09-Авг-21, 16:23 (145)
Надо было на расте писать , Аноним, 09-Авг-21, 20:44 (146) //
- В соседнюю ветку загляни, там в твоём расте дыреней наделали мама не горюй , Аноним, 09-Авг-21, 22:17 (148)
- Точняк, надо запилить что-нибудь с этой уязвимостью и на хрусте Нужно больше CV, Аноним, 09-Авг-21, 22:22 (149)
Это называется не уязвимость , а заставили обезьян веб проектировать Бэкенду , Gogi, 10-Авг-21, 00:14 (150) //
- Есть ещё кстати fastcgi Можно было бы использовать его , Аноним, 18-Авг-21, 09:45 (164)
- К разработчикам SPDY, из которого произошёл HTTP 2 первое предложение относится , Аноним, 22-Дек-23, 22:46 (166)
Мамкины иксперты даже не поняли о чем идет речь в статье, говорят за JS, Rust , Gena ANTG, 11-Авг-21, 17:29 (155)
А почему бы просто не общаться с бэкендами по http 2 Ведь это бинарный протокол, Аноним, 18-Авг-21, 09:44 (163)
Если в HTTP 2 указана длина, зачем допускается Content-Length Даже если это не , Аноним, 22-Дек-23, 22:44 (165)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру