描述
敌人滥用的灵活性和差异在HTTP请求消息的解析和解释不同的中介HTTP代理(例如,负载均衡器,反向代理,网络缓存代理,应用防火墙、等等)一个HTTP请求分割成多个未经授权和恶意的HTTP请求到后端HTTP代理(例如,web服务器)。
看到CanPrecede关系可能的后果。
扩展描述
这需要敌人注入恶意用户输入各种标准和/或用户定义的HTTP头在一个HTTP请求通过用户输入回车(CR),换行(低频),水平选项卡(HT)、空间(SP)字符以及其他有效/ RFC兼容的特殊字符和独特的字符编码。这个恶意用户输入允许web脚本在HTTP头注入浏览器cookie或Ajax web /浏览器像XMLHttpRequest对象参数在异步请求的实现。
这种攻击通常是由于使用过时的或不相容的HTTP协议版本以及缺乏语法检查和过滤用户输入的HTTP代理接收HTTP消息的路径。
这不同于CAPEC-34 HTTP响应分裂,这通常是一个试图妥协客户机代理(例如,web浏览器)通过发送恶意内容从后端HTTP响应HTTP基础设施。HTTP请求分割是一个试图妥协后端HTTP代理 通过HTTP请求消息。
HTTP走私(CAPEC-33 和capec - 273 )不同于HTTP分裂是因为它依赖于差异的解释各种HTTP header和消息的大小,而非仅仅是用户输入特殊字符和字符编码。建立了HTTP走私对HTTP请求分割技术规避措施之一。
攻击的可能性
典型的严重性
的关系
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
自然
类型
ID
的名字
ChildOf
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 220年
客户端-服务器协议操作
PeerOf
详细的攻击模式-一个详细级别攻击模式CAPEC提供了一个低水平的细节,通常利用一个特定的技术和针对特定的技术,并表达一个完整的执行流程。详细的攻击模式比元更具体的攻击模式和标准的攻击模式,通常需要一个特定的保护机制来减轻实际攻击。详细的级别攻击模式通常会利用许多不同的标准水平攻击模式链接在一起来完成一个目标。 34
HTTP响应分裂
CanPrecede
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 63年
跨站点脚本(XSS)
CanPrecede
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 115年
认证绕过
CanPrecede
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 141年
缓存中毒
CanPrecede
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 148年
内容欺骗
CanPrecede
元在CAPEC攻击模式——元级别攻击模式的量化无疑是一个抽象的描述一个特定的方法或技术用于攻击。元攻击模式往往是空虚的一个特定的技术或实现,旨在提供一个高水平的理解方法。元级攻击模式是一个泛化的攻击模式相关的标准水平。元级攻击模式尤其适用于架构和设计水平的威胁建模练习。 154年
资源位置欺骗
CanPrecede
标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 593年
会话劫持
此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
执行流程
探索
调查网络来识别目标: 对手执行网络侦察监视相关流量识别的网络路径和解析HTTP消息的目标识别潜在目标。
技术
扫描网络指纹HTTP基础设施和监控HTTP流量识别HTTP网络路径工具等网络协议分析仪。
实验
在目标识别漏洞HTTP基础设施和技术: 对手发送各种良性/模棱两可的HTTP请求来观察响应HTTP基础设施以识别差异/差异解释的HTTP请求和解析通过检查支持HTTP协议版本,HTTP头、语法检查和输入过滤。
导致微分HTTP响应HTTP请求通过试验确定漏洞: 对手发送恶意的HTTP请求与自定义字符串和嵌入式web脚本和对象的解析HTTP头干涉中介和后端HTTP基础设施,其次是正常/良性的HTTP请求的对手或一个随机的用户。恶意的HTTP请求的预期后果将在HTTP基础设施应对的正常/良性的HTTP请求确认适用性识别漏洞在对手的进攻计划。
技术
继续监控HTTP流量。
利用不同的特殊字符序列(CR -回车,如果——换行,HT -水平选项卡中,SP -空间等。)绕过过滤和后端嵌入编码和:
额外的HTTP请求自己的头
恶意网页脚本到HTTP请求头的参数(例如,浏览器cookie set - cookie或Ajax web /浏览器对象参数如XMLHttpRequest)
对手选择编码(如utf - 7)
利用额外的特殊字符(如>和<)过滤目标HTTP代理。
请注意,某些特殊字符和字符编码可能只适用与罕见的中介和前端代理配置或不符合RFC。
遵循一种不为人知的(有时一个RFC兼容)与随后的HTTP请求HTTP头,可能导致HTTP请求被忽略和解释前面的HTTP请求的一部分。
利用
执行HTTP请求分割攻击: 使用知识发现在上面的实验部分中,走私消息导致的一个后果。
先决条件
额外的HTTP代理中介如防火墙应用程序或web缓存代理之间的对手,第二剂如web服务器,发送多个HTTP消息在相同的网络连接。
不同的方式两个HTTP代理解析和解释HTTP请求和它的头。
HTTP头能够user-manipulated。
HTTP代理运行在HTTP / 1.0或HTTP / 1.1允许维持模式,管线式查询,和分块查询和响应。
技能要求
(级别:中等)
HTTP协议的详细知识:请求和响应消息的结构和使用特定的header。
(级别:中等)
具体的详细知识HTTP代理接收、发送、过程,解释,和解析各种HTTP消息和标题。
(级别:中等)
拥有知识的确切细节差异几个有针对性的HTTP代理在HTTP消息的路径解析消息结构和个人头。
所需资源
工具能够制作恶意HTTP消息和监控HTTP消息响应。
指标
不同处理的两个代理的请求。这需要仔细监测或能力的日志分析工具。
后果
这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围
影响
可能性
保密
完整性
可用性
执行未经授权的命令
保密
访问控制
授权
获得特权
保密
读取数据
完整性
修改数据
缓解措施
设计:评估HTTP代理之前部署差异解析/解释。
配置:前端HTTP代理通知模棱两可的请求。
配置:后端HTTP代理拒绝模棱两可的请求并关闭网络连接。
配置:禁用后端连接的重用。
配置:使用HTTP / 2的后端连接。
配置:使用相同的web服务器软件的前端和后端服务器。
实现:使用一个Web应用程序防火墙(WAF),内置缓解检测异常请求/响应。
配置:安装最新的供应商安全补丁可用中介和后端HTTP基础设施(即代理和web服务器)
配置:确保HTTP基础设施在链或网络路径利用严格统一的解析过程。
实现:利用中介HTTP基础设施能够过滤和/或清除用户输入。
例子,实例
微软的ie浏览器版本5.01 SP4之前,6.0 SP2和之前,和7.0包含一个漏洞,可以让一个未经身份验证的,远程的对手进行HTTP请求分割和走私的攻击。漏洞是由于一个在浏览器中输入验证错误,允许敌人操纵某些标题让浏览器的HTTP请求分割和走私的攻击。可能包括跨站点脚本攻击、代理缓存中毒和会话固定。在某些情况下,一个利用可以让对手绕过web应用程序防火墙或其他过滤设备。微软已经证实了脆弱性和发布软件更新。
笔记
的关系
HTTP走私是一个进化之前的HTTP分裂技术矫正通常反对。
术语
HTTP分裂——“强迫行为(HTTP)消息的发送方发出的数据流组成的更多消息发送者的内涵。发送的消息是100%有效的,符合RFC的“
ref - 117 ]。
术语
HTTP走私——“强迫行为(HTTP)消息的发送方发出的数据流可以解析为一组不同的消息(即脱臼消息边界)比发送者的意图。这是通过迫使发送方发出的非标准消息,可以解释的方法不止一种,“(
ref - 117 ]。
分类法映射
引用
内容的历史
提交
提交日期
提交者
组织
2014-06-23
(版本2.6)
CAPEC内容团队
manbetx客户端首页
修改
修改日期
修饰符
组织
2017-08-04
(版本2.11)
CAPEC内容团队
manbetx客户端首页
更新Related_Attack_Patterns Resources_Required
2019-04-04
(版本3.1)
CAPEC内容团队
manbetx客户端首页
更新Related_Attack_Patterns
2020-07-30
(版本3.3)
CAPEC内容团队
manbetx客户端首页
更新Related_Weaknesses
2020-12-17
(版本3.4)
CAPEC内容团队
manbetx客户端首页
更新@Abstraction、引用Taxonomy_Mappings
2021-10-21
(版本3.6)
CAPEC内容团队
manbetx客户端首页
@Status更新,后果,描述、Example_Instances Execution_Flow, Extended_Description,指标,缓解措施,指出,先决条件,引用,Related_Attack_Patterns, Related_Weaknesses, Resources_Required Skills_Required
2022-09-29
(版本3.8)
CAPEC内容团队
manbetx客户端首页
更新Extended_Description Related_Weaknesses
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
