HTTP İstek Kaçakçılığı terimini duydunuz mu? HTTP/2 Sürüm Düşürmeye ne dersiniz? Bunlar, web sitelerinin ön ucu ile arka ucu arasında sorunlar olduğunda siber suçluların yararlanabileceği güvenlik açıklarıdır. Çözülmeden bırakılırsa, bunlar herhangi bir işletme için çok ciddi sonuçlara yol açabilir. BT Güvenliği Gurusu, bu tehdit hakkında daha fazla bilgi edinmek için Outpost24 Ghostlabs AppSec Uygulama Güvenliği Denetçisi Yardımcısı Love Andren ile sohbet etti.
BT Güvenlik Gurusu (ISG) – HTTP İstek Kaçakçılığı Nedir?
Aşk – Web sunucusunun vücut uzunluğunu hesaplarken Transfer-Kodlama ve İçerik-Uzunluk olmak üzere iki ayrı yönteme izin verdiği gerçeğini kötüye kullanan bir istismar. Her ikisinin de tek bir istekte gönderilmesi, ön uç veya arka uç sunucusunun isteği yanlış yorumlamasına ve arka uç sunucuda senkronizasyon bozulmasına neden olabilir. Doğru şekilde yapıldığında, saldırganın birinci HTTP isteğinin içine ikinci bir HTTP isteğini sokmasına olanak tanınacak ve yanıt, uygulamaya bir sonraki isteği gönderen kişiye sunulacaktır.
En yaygın teknikler, istek gövdesinin uzunluğunun, gerçek istek gövdesinden daha küçük bir değere ayarlanması üzerine kuruludur. Bu daha sonra ön veya arka uç sunucunun, isteğin belirli bir noktada sona erdiğine inanmasına neden olur ve kötü niyetli isteği içeren gövdenin geri kalan kısmı kaçırılır.
Etki, oturumların ele geçirilmesinden, erişim kontrolünün atlanmasından Siteler arası komut dosyası çalıştırma saldırılarına kadar uzanır.
ISG – HTTP/2 Sürüm Düşürme Nedir?
Aşk – HTTP/2 yaygın olarak kullanılsa da, hâlâ yeni olduğundan yalnızca HTTP/1 kullanan eski arka uç sunucular da mevcut. HTTP/2 isteği, HTTP/1 ile karşılaştırıldığında yapı açısından (gönderilme şekli değil) benzer olduğundan, isteği diğerlerinin sözdizimine dönüştürmek basit bir işlemdir. Temel ve önemli farklardan biri, istek/yanıt bayt olarak gönderildiğinden HTTP/2’nin istek gövdesi uzunluğunu belirtmesine gerek olmamasıdır.
Sorunlar, ön uç sunucunun, isteğin uzunluğunu belirten, kabul etmemesi gereken başlıkları kabul etmeye başlamasıyla başlar. Örneğin, uygulamaya başka bir istek içeren bir gövdeyle HTTP/2 isteği göndermek, ancak gövde uzunluğunu “0” olarak belirtmek, ön uç sunucunun bunu HTTP/1.1’e dönüştürürken iki ayrı istek olarak görmesine neden olabilir.
Bu da HTTP/2 senaryolarında istek kaçakçılığını yeniden gündeme getiriyor.
ISG – Kuruluşların/güvenlik ekiplerinin neden bu tehditlerden haberdar olması gerekiyor? Neye yol açabilir?
Aşk – Bunun temel nedeni, daha önce de belirtildiği gibi, başarılı bir talep kaçakçılığı saldırısının etkisidir. Daha önce listelenenlerin hepsinin bir web uygulaması için yıkıcı sonuçları vardır.
Diğer bir neden ise istismarın karmaşıklığıdır; planlama sırasında gözden kaçabilir veya daha yaygın ve yürütülmesi kolay güvenlik açıklarına (XSS veya yetkilendirme sorunları gibi) odaklanmak için atlanabilir.
ISG – Bu tehdidin 2024 ve sonrasında daha da belirginleşeceğini düşünüyor musunuz?
Aşk – Benim için söylemesi zor. Şahsen ben, güvenlik mühendislerinin bu karmaşık istismara daha fazla aşina olması durumunda olası saldırıların azaltılabileceğini düşünüyorum. Aynı şey etik bilgisayar korsanları ve penetrasyon test uzmanları için de geçerlidir; kaçakçılık saldırılarını test etmek veya test etmede daha iyi olmak, müşterinin daha mutlu olmasına yol açabilir.
ISG – Talep kaçakçılığı nasıl azaltılabilir?
Aşk – HTTP/1 tabanlı istek kaçakçılığı için, uzunluğu belirlemek için iki başlıktan yalnızca birine izin verin ve hem ön hem de arka uç sunucuların aynı şeyi kullanacak şekilde yapılandırıldığından emin olun. Belirsiz isteği engelleyin ve uzunluğun belirttiği şeye rağmen isteğin metnini her zaman kontrol ettiğinizden emin olun.
HTTP/2 tarafından başlatılan istek kaçakçılığı için uçtan uca HTTP/2 iletişiminin etkinleştirildiğinden emin olun. Eski bir sunucu kullanılıyorsa ve sürüm düşürmenin kullanılması gerekiyorsa gövde boyutunu belirten HTTP/1 başlıklarını içeren istekleri engelleyin. Diğer bir hafifletme önlemi, CRLF dizisi enjeksiyonları gibi talep kaçakçılığı saldırılarında kullanılan diğer tekniklerin engellenmesidir.