HTTP İsteği Kaçakçılığı, yük dengeleyiciler ve proxy’ler gibi farklı web sunucularının veya aracıların HTTP istek dizilerini işleme biçimindeki farklılıklardan kaynaklanan bir web güvenliği kusurudur.
Bu tutarsızlıklardan yararlanan kötü amaçlı HTTP istekleri oluşturarak saldırgan, isteklerin işlenme sırasını kontrol edebilir ve bu da yetkisiz erişime, güvenlik kontrollerinin aşılmasına, oturum ele geçirilmesine veya diğer kullanıcılara yönelik yanıtların içine kötü amaçlı içerik yerleştirilmesine yol açabilir.
Bu kusur, HTTP isteklerinin başlangıç ve bitiş noktalarının yorumlanmasındaki farklılıklardan kaynaklanmaktadır ve bu da sunucunun istekleri hatalı şekilde işlemesine neden olmaktadır.
BugCrowd’daki siber güvenlik araştırmacıları, sunucu tarafındaki güvenlik açıkları konusunda tutkulu bir bilgisayar korsanlığı meraklısı olan Paolo Arnolfo (@sw33tLie), baba süper kahraman ve yetenekli bir bilgisayar korsanı olan Guillermo Gregorio (@bsysop) ve gizli bir dahi olan █████ (@_medusa_1_) ile birlikte yakın zamanda yaptıkları ortak bir çalışmayla HTTP İsteği Kaçakçılığı hakkında önemli içgörüler ortaya çıkardılar.
Yapay Zeka Destekli Güvenlik ile İş E-postalarınızı Sahtecilik, Kimlik Avı ve BEC’den Koruyun | Ücretsiz demo
Yeni TE.0 HTTP İstek Kaçakçılığı
Bulut barındırma güvenlik avantajları sağlasa da bilinmeyen HTTP İsteği Kaçakçılığı vektörleri hâlâ önemli tehditler oluşturabilir.
Son zamanlarda yapılan bir keşif, Yük Dengeleyicilerini kullanan binlerce Google Cloud barındırılan web sitesini etkiledi ve Kimlik Bilinçli Proxy de dahil olmak üzere çeşitli hizmetleri tehlikeye attı.
Araştırmacılar, bu tür güvenlik açıklarını ortaya çıkarmak için yerel sunucular için http-garden gibi farklı test araçları ve bulut altyapıları için hata ödül programlarında “sprey ve dua” tekniklerini kullanıyorlar.
bbscope gibi araçlar, güvenlik açığı araştırmaları için kapsamlı hedef listeleri üretebilir ve HTTP İstek Kaçakçılığının yaygın ve yeterince araştırılmamış bir güvenlik sorunu olmaya devam ettiğini vurgular.
Yeni bir HTTP istek kaçakçılığı türü olan TE.0’ın Google Cloud’un Yük Dengeleyicisini etkilediği keşfedildi.
CL.0 varyantına benzeyen ancak Transfer-Encoding kullanan teknik, hassas sistemlerde kitlesel 0 tıklamayla hesap ele geçirmelerine olanak sağladı.
.webp)
Google’ın Kimlik Bilinçli Proxy’si (IAP) tarafından korunanlar da dahil olmak üzere binlerce hedefi etkiledi ve HTTP/2 yerine varsayılan olarak HTTP/1.1 olarak ayarlanan Google Cloud’da barındırılan web siteleri arasında yaygındı.
Bu keşif, HTTP İstek Kaçakçılığı tekniklerinin nasıl evrimleştiğini ve bulut altyapılarında sürekli güvenlik araştırmasının neden önemli olduğunu gösteriyor.
TE.0 HTTP İsteği Kaçakçılığı güvenlik açığı, Google’ın Yük Dengeleyicisini etkiledi ve Google Cloud’un Sıfır Güven güvenliğinin temel özelliği olan Google Kimlik Farkında Proxy’yi (IAP) tehlikeye attı.
Bu kusur, IAP’nin katı kimlik doğrulama ve yetkilendirme önlemlerinin aşılmasını mümkün kılarak, dolayısıyla “asla güvenme, her zaman doğrula” ilkesini ihlal etti.
Bu açık, site genelinde yönlendirmelerin yanı sıra uygulamaya özgü araçların kötü amaçlı kullanımına da olanak sağlıyordu ve bu da ciddi güvenlik ihlallerine yol açabiliyordu.
Tüm TE.0 saldırıları IAP korumasını aşmayı başardı ancak hepsinin ciddi sonuçları olmadı.
Google, ilk raporlama zorluklarının ardından bunu kabul ederek, bulut altyapısındaki açıkları kapatmanın karmaşık bir sorun olduğunu gösterdi.
Aşağıda açıklama zaman çizelgesini belirttik:
.webp)
Google Cloud’un altyapısında, HTTP istek kaçakçılığı tekniklerini kullanarak web uygulamasını hacklemeye yönelik sürekli girişimler nedeniyle önemli bir güvenlik açığı bulunduğu keşfedildi.
Merak duygusuyla yapılan araştırma, büyük bir çekle sonuçlandı ve siber güvenliğin yaratıcı düşüncenin değerini vurguladığı bir ders oldu.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.