Phát hiện 4 biến thể mới của HTTP Request Smuggling

Đào Công
08/09/2020 16:17
D

Một nghiên cứu gần đây đã tiết lộ về 4 biến thể mới của kỹ thuật tấn công HTTP request smuggling. Chúng được sử dụng để nhắm tới các máy chủ web và máy chủ proxy HTTP thương mại. Các biến thể này đã cho thấy máy chủ web và máy chủ proxy HTTP vẫn dễ bị ảnh hưởng bởi HTTP request smuggling mặc dù nó đã được phát hiện lần đầu tiên từ 15 năm trước.

HTTP Request Smuggling 

HTTP request smuggling (Tấn công bất đồng bộ HTTP) là một kỹ thuật được sử dụng để can thiệp vào quá trình trang web xử lý các chuỗi yêu cầu HTTP nhận được từ một hay nhiều người dùng.

Các lỗ hổng liên quan đến HTTP request smuggling thường xuất hiện khi front-end và các máy chủ back-end có bất đồng trong việc xử lý các yêu cầu HTTP. Từ đó cho phép kẻ tấn công gửi hoặc đánh cắp một yêu cầu không xác định và ghép nó vào yêu cầu của người dùng tiếp theo.

Việc không đồng bộ các yêu cầu có thể bị khai thác để đánh cắp thông tin đăng nhập, đưa về các phản hồi sai cho người dùng, thậm chí là lấy cắp dữ liệu từ yêu cầu của nạn nhân, sau đó chuyển thông tin đến máy chủ do kẻ tấn công kiểm soát.

Kỹ thuật này được trình bày lần đầu tiên vào năm 2005 bởi một nhóm các nhà nghiên cứu từ Watchfire gồm: Klein, Chaim Linhart, Ronen Heled và Steve Orrin. Tuy nhiên, trong 5 năm qua những kẻ tấn công bổ sung thêm một số cải tiến mới, khiến phạm vi tấn công lớn hơn.

Các biến thể có thể ghép các yêu cầu lại với nhau và chiếm được quyền truy cập tối đa vào API nội bộ gây nhiễm độc web cache và xâm nhập vào trang đăng nhập của các ứng dụng phổ biến.  

Các biến thể mới này được Klein, Phó Giám đốc Nghiên cứu Bảo mật tại SafeBreach tiết lộ: kết hợp sử dụng nhiều proxy-server khác nhau, bao gồm Abyss của Aprelium, Microsoft IIS, Apache và Tomcat trong chế độ web-server và Nginx, Squid, HAProxy, Caddy và Traefik trong chế độ HTTP proxy.

Dưới đây là bốn biến thể mới được phát hiện và một biến thể cũ mà Klein đã khai thác thành công trong các nghiên cứu của mình:

Variant 1: “Header SP/CR junk: …”

Variant 2 – “Wait for It”

Variant 3 – HTTP/1.2 to bypass mod_security-like defense

Variant 4 – a plain solution

Variant 5 – “CR header” 

Khi xử lý các yêu cầu HTTP chứa hai tiêu đề Content - Length, thì Abyss đã được phát hiện chỉ chấp nhận tiêu đề thứ hai là hợp lệ, trong khi Squid sử dụng tiêu đề đầu tiên, do đó dẫn đến việc hai máy chủ xử lý các yêu cầu khác nhau và làm xuất hiện “request smuggling”.

Trong trường hợp Abyss nhận được một yêu cầu HTTP với nội dung có độ dài nhỏ hơn giá trị Content - Length được chỉ định, nó sẽ đợi 30 giây để thực hiện yêu cầu nhưng không bỏ qua nội dung còn lại của yêu cầu. Klein thấy rằng điều này cũng dẫn đến sự khác biệt giữa Squid và Abyss, bởi các phần xử lý sau của một yêu cầu HTTP sẽ được gửi đi như một yêu cầu thứ hai.

Biến thể thứ ba của phương pháp này sử dụng HTTP/1.2 để phá vỡ hệ thống phòng thủ của tường lửa web (WAF-Web application firewall). Trong Bộ quy tắc cốt lõi (Computer reservation - CRS) của OWASP ModSecurity, tường lửa này được định rõ là dùng để ngăn chặn việc các cuộc tấn công HTTP request smuggling thực hiện các hành vi mang tính độc hại.

Cuối cùng, Klein phát hiện ra rằng sử dụng trường tiêu đề “Content - Type: text/plain” cũng đủ để vượt qua khâu kiểm tra paranoia mức độ 1 và 2 được chỉ định trong CRS và làm xuất hiện một lỗ hổng HTTP Request Smuggling.

Những biện pháp bảo vệ khả thi 
Sau khi phát hiện này được công bố cho Aprelium, Squid và OWASP CRS, các vấn đề đã được khắc phục trong Abyss X1 phiên bản 2.14, Squid phiên bản 4.12, 5.0.3 và CRS phiên bản 3.3.0.

Klein kêu gọi tiêu chuẩn hóa các yêu cầu HTTP gửi đi từ các máy chủ proxy và nhấn mạnh sự cần thiết của một giải pháp tường lửa mạnh mẽ dành cho website, mã nguồn mở có khả năng xử lý các cuộc tấn công HTTP Request Smuggling.

“ModSecurity (kết hợp với CRS) quả thực là một dự án mã nguồn mở, nhưng nếu xét về độ mạnh và tính tổng quát, thì ModSecurity còn tồn tại một số nhược điểm. Nó không thể bảo vệ hệ thống hoàn toàn trước các cuộc tấn công HTTP Request Smuggling và nó chỉ khả dụng cho Apache, IIS và nginx,” Klein cho biết.

Để giải quyết vấn đề này, Klein đã cho công bố một thư viện dựa trên C++ trên GitHub. Thư viện này giúp đảm bảo tất cả các yêu cầu HTTP gửi đến là hoàn toàn hợp lệ và được xác định rõ ràng bằng cách yêu cầu nó phải tuân thủ nghiêm ngặt các quy tắc về định dạng tiêu đề HTTP và định dạng dòng yêu cầu.

Theo An toàn Thông tin

Bình luận

Tối thiểu 10 chữ Tiếng việt có dấu Không chứa liên kết

Gửi bình luận

Tin cùng chuyên mục

Chi phí AI agent đang trở thành bài toán khó đoán với doanh nghiệp

Chi phí AI agent đang trở thành bài toán khó đoán với doanh nghiệp

AI Camera, robot tự hành, UAV sẵn sàng tạo đột phá công nghệ chiến lược

AI Camera, robot tự hành, UAV sẵn sàng tạo đột phá công nghệ chiến lược

Viettel AI Race 2026: Sân chơi công nghệ dành cho cộng đồng đam mê trí tuệ nhân tạo

Viettel AI Race 2026: Sân chơi công nghệ dành cho cộng đồng đam mê trí tuệ nhân tạo

Chính thức vận hành Hệ thống truy xuất nguồn gốc nông sản Việt Nam

Chính thức vận hành Hệ thống truy xuất nguồn gốc nông sản Việt Nam

Nvidia chia sẻ GPU để đổi doanh thu startup AI

Nvidia chia sẻ GPU để đổi doanh thu startup AI

Microsoft Defender có đủ thay thế diệt virus bên thứ ba?

Microsoft Defender có đủ thay thế diệt virus bên thứ ba?

Việt Nam chuẩn bị tần số cho 6G, UAV và đường sắt tốc độ cao

Việt Nam chuẩn bị tần số cho 6G, UAV và đường sắt tốc độ cao

Quy định chặt chẽ ứng dụng AI trong báo chí từ 1/7/2026

Quy định chặt chẽ ứng dụng AI trong báo chí từ 1/7/2026

Ngành Tòa án ứng dụng AI trong tổng rà soát văn bản quy phạm pháp luật

Ngành Tòa án ứng dụng AI trong tổng rà soát văn bản quy phạm pháp luật

Ra mắt nền tảng số hóa tài sản đấu giá Việt Nam: Gỡ “nút thắt” dữ liệu, thúc đẩy minh bạch thị trường

Ra mắt nền tảng số hóa tài sản đấu giá Việt Nam: Gỡ “nút thắt” dữ liệu, thúc đẩy minh bạch thị trường

Trung Quốc đặt mục tiêu để AI thúc đẩy 90% nền kinh tế vào năm 2030

Trung Quốc đặt mục tiêu để AI thúc đẩy 90% nền kinh tế vào năm 2030

NotebookLM giúp nghiên cứu hiệu quả và toàn diện với các tính năng mới

NotebookLM giúp nghiên cứu hiệu quả và toàn diện với các tính năng mới

Tin mới cập nhật

VinFast VF 2 ra mắt thị trường Việt Nam, giá từ 188 triệu đồng

VinFast VF 2 ra mắt thị trường Việt Nam, giá từ 188 triệu đồng

Roborock Qrevo 2 Pro, mang trải nghiệm flagship đến gần hơn với người tiêu dùng Việt

Roborock Qrevo 2 Pro, mang trải nghiệm flagship đến gần hơn với người tiêu dùng Việt

Bộ Công Thương thúc đẩy bán lẻ số, hiện đại hóa hạ tầng thương mại

Bộ Công Thương thúc đẩy bán lẻ số, hiện đại hóa hạ tầng thương mại

Bee Laundry, cửa hàng giặt sấy thông minh của LG chính thức mở tại Hà Nội

Bee Laundry, cửa hàng giặt sấy thông minh của LG chính thức mở tại Hà Nội

Lịch World Cup 2026 ngày 8/7: Colombia đối đầu Thụy Sĩ

Lịch World Cup 2026 ngày 8/7: Colombia đối đầu Thụy Sĩ

Hạ tầng số là 'chìa khóa' để kinh tế tầm thấp cất cánh

Hạ tầng số là 'chìa khóa' để kinh tế tầm thấp cất cánh

Khai mạc Tuần lễ Kinh tế - Tài chính - Công nghệ Đà Nẵng 2026: Cần hình thành những không gian phát triển mới

Khai mạc Tuần lễ Kinh tế - Tài chính - Công nghệ Đà Nẵng 2026: Cần hình thành những không gian phát triển mới

Phó Thủ tướng Hồ Quốc Dũng dự kỷ niệm 50 năm thành lập Viện Năng lượng nguyên tử Việt Nam

Phó Thủ tướng Hồ Quốc Dũng dự kỷ niệm 50 năm thành lập Viện Năng lượng nguyên tử Việt Nam

Chi phí AI agent đang trở thành bài toán khó đoán với doanh nghiệp

Chi phí AI agent đang trở thành bài toán khó đoán với doanh nghiệp

Hóa đơn tiền điện có thể thay đổi vì cách tính mới

Hóa đơn tiền điện có thể thay đổi vì cách tính mới

Triển lãm 'Quốc Tử Giám trong nghệ thuật' tôn vinh 950 năm trường đại học đầu tiên của Việt Nam

Triển lãm 'Quốc Tử Giám trong nghệ thuật' tôn vinh 950 năm trường đại học đầu tiên của Việt Nam

Việt Nam - Đức đẩy mạnh hợp tác khoa học, công nghệ và đổi mới sáng tạo

Việt Nam - Đức đẩy mạnh hợp tác khoa học, công nghệ và đổi mới sáng tạo

Tin đọc nhiều

AI Camera, robot tự hành, UAV sẵn sàng tạo đột phá công nghệ chiến lược

AI Camera, robot tự hành, UAV sẵn sàng tạo đột phá công nghệ chiến lược

Viettel AI Race 2026: Sân chơi công nghệ dành cho cộng đồng đam mê trí tuệ nhân tạo

Viettel AI Race 2026: Sân chơi công nghệ dành cho cộng đồng đam mê trí tuệ nhân tạo

Chính thức vận hành Hệ thống truy xuất nguồn gốc nông sản Việt Nam

Chính thức vận hành Hệ thống truy xuất nguồn gốc nông sản Việt Nam

Nvidia chia sẻ GPU để đổi doanh thu startup AI

Nvidia chia sẻ GPU để đổi doanh thu startup AI

Microsoft Defender có đủ thay thế diệt virus bên thứ ba?

Microsoft Defender có đủ thay thế diệt virus bên thứ ba?

Việt Nam chuẩn bị tần số cho 6G, UAV và đường sắt tốc độ cao

Việt Nam chuẩn bị tần số cho 6G, UAV và đường sắt tốc độ cao

LMHT: Riot Games công bố thể thức thi đấu của MSI 2026 và CKTG 2026

LMHT: Riot Games công bố thể thức thi đấu của MSI 2026 và CKTG 2026

Năm 2025 là năm bứt phá của các tựa Game Indie

Năm 2025 là năm bứt phá của các tựa Game Indie

MISA AMIS OneAI: Nền tảng AI hợp nhất phổ cập cho tổ chức, doanh nghiệp và gia đình

MISA AMIS OneAI: Nền tảng AI hợp nhất phổ cập cho tổ chức, doanh nghiệp và gia đình

ITU Digital World 2020: Doanh nghiệp kỳ vọng vào các cơ hội mới

ITU Digital World 2020: Doanh nghiệp kỳ vọng vào các cơ hội mới

Video xem nhiều

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Giới thiệu chương trình bình chọn “Xe của năm 2022"

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Đại học Miami tạo ra cảm biến chất lượng không khí phát hiện Covid-19

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Honda MSX 125 Grom 2021 mẫu xe côn tay phiên bản đường đua

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Clip: Khuyến cáo đối với người lao động, người làm việc, người bán hàng tại khu dịch vụ trong dịch Covid-19

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Geneva Motor Show 2020: Bentley hé lộ siêu xe Bacalar triệu đô

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Lộ diện siêu xe hypercar Czinger 21C tăng tốc 0-100km/h chưa tới 2 giây

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

Cỗ xe lai phản lực tăng tốc từ 0 - 1010 km/h trong 50 giây tham vọng phá kỷ lục thế giới

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

“Rắn tiên tri” dự đoán đội tuyển Việt Nam thắng Thái Lan

5G - Mạng truyền tải di động tốc độ cao của tương lai

5G - Mạng truyền tải di động tốc độ cao của tương lai

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Một ngày trải nghiệm giấc mơ trở thành tay đua F1 chuyên nghiệp ở Nhật Bản

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

Chiếc điều hòa cá nhân này của Sony là tất cả những gì bạn cần để sống sót qua mùa hè nóng nực

5G thay đổi tương lai của bạn như thế nào?

5G thay đổi tương lai của bạn như thế nào?

Bàn về tầm nhìn và các trụ cột của công nghệ thông tin di động 6G
04/03/2022
Chip xử lý A15 Bionic của Apple có gì mới
15/09/2021
Sex Education mùa 3 được Netflix công chiếu vào 17/9
14/09/2021
iPhone 13 không thay đổi nhiều về ngoại hình, camera được nâng cấp mạnh
13/09/2021
Cách xem trực tiếp sự kiện ra mắt iPhone 13 và Apple Watch 7
10/09/2021
VNEID của Bộ Công an khác các ứng dụng đang được vận hành?
10/09/2021
'Cái tôi' thời 4.0 và tính hai mặt của mạng xã hội
04/09/2021
'Muôn màu' cảm xúc của trẻ trong ngày khai giảng online
24/08/2021
Chủ tịch Chu Ngọc Anh giải toả 'ách tắc' về Giấy đi đường cho người dân Thủ đô
10/08/2021
Hàng loạt Macbook M1 tự dưng vỡ màn hình, Apple có đồng ý bảo hành?
02/08/2021
6 bộ phim hay nhất để xem trên VieON
29/01/2021
Bắc Ninh: Không ký kết triển khai dự án Owifi 5G với CSE Singapore
27/06/2020
Bị World Bank cấm dự thầu 7 năm, công ty Sao Bắc Đẩu thừa nhận sai sót
27/06/2020
Wefinex - Mô hình hoạt động đa cấp "đội lốt" đầu tài chính trên mạng internet
10/06/2020
Khai trừ MISA khỏi Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam
27/05/2020
Chuyển đổi số - Nên hiểu như thế nào cho đúng
25/05/2020
Chống thất thu thuế là thách thức lớn đối với nền kinh tế số
29/04/2020
Cách chuyển tập tin sang máy tính mới
10/11/2019
VNPT, MobiFone, VTC sẽ hoàn thành cổ phần hóa trước năm 2021
20/08/2019
5G thay đổi tương lai của bạn như thế nào?
26/07/2019
Nhận diện hành vi lừa đảo trên không gian mạng
25/07/2019
Truyền hình OTT - Hướng đi mới của các “nhà Đài”
24/07/2019