国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

開源負載均衡器HAProxy嚴重安全漏洞 易受關鍵HTTP請求走私攻擊

ThinkSNS / 1038人閱讀

摘要:是一個受歡迎的開源負載均衡器和代理服務器,目前披露了一個嚴重的安全漏洞,該漏洞可能被攻擊者濫用,可能會走私請求,導致未經授權的訪問敏感數據和執行任意命令,進行一系列攻擊。

HAProxy是一個受歡迎的開源負載均衡器和代理服務器,目前披露了一個嚴重的安全漏洞,該漏洞可能被攻擊者濫用,可能會走私HTTP請求,導致未經授權的訪問敏感數據和執行任意命令,進行一系列攻擊。

該整數溢出漏洞在CVSS評分系統上的嚴重級別為8.6,已在HAProxy 2.0.25、2.2.17、2.3.14和2.4.4版本中修復。

HTTP請求走私,顧名思義,是一種web應用程序攻擊,篡改網站處理從多個用戶收到的HTTP請求序列的方式。這種技術也稱為HTTP去同步,它利用了對前端服務器和后端服務器處理發送方請求方式不一致的解析。

前端服務器通常是負載均衡器或反向代理,網站使用它們來管理通過單個連接的入站 HTTP請求鏈,并將它們轉發到一個或多個后端服務器。因此,在兩端正確處理請求至關重要,這樣服務器才能確定一個請求在哪里結束,下一個請求從哪里開始,處理請求失敗可能導致附加到一個請求的惡意內容被添加到下一個請求的開始的場景中。

換句話說,由于前端和后端服務器如何使用Content-Length和Transfer-Encoding標頭計算每個請求的開始和結束所產生的問題,導致惡意HTTP請求的結束計算錯誤,將惡意內容置于鏈中下一個入站請求的開頭,而不被服務器處理。

JFrog安全公司的研究人員在一份報告中說:“這次攻擊是利用了一個整數溢出漏洞,該漏洞允許在HAProxy解析HTTP請求時達到一個意想不到的狀態,特別是在處理內容長度頭的邏輯中。”值得一提的是,在軟件開發過程中通過靜態代碼檢測可以有效降低安全漏洞數,加強抗攻擊能力。

在潛在的實際攻擊場景中,該漏洞可用于觸發HTTP請求偷襲攻擊,目的是繞過HAProxy定義的ACL(又名訪問控制列表)規則,該規則允許用戶定義自定義規則來阻止惡意請求。

在披露之后,HAProxy 通過添加名稱和值長度的大小檢查來修復該弱點。“作為一種緩解措施,只要驗證任何消息中不超過一個這樣的[content-length]標頭就足夠了,”HAProxy 的創建者和首席開發人員Willy Tarreau在9月3日推送的GitHub提交中指出。

對于無法升級到上述版本的客戶,建議將以下代碼片段添加到代理的配置中,以減少攻擊:

Http-request request if {req.hdr_cnt(content-length) gt 1}

Http-response deny if {res.hdr_cnt(content-length) gt 1}

安全漏洞為網絡系統遭到攻擊提供了廣泛的攻擊面,尤其隨著軟件的使用滲透到生活的方方面面,發動一次網絡攻擊造成的影響將不可估計。減少安全漏洞提高軟件安全,已經成為殺毒軟件、防火墻等傳統防御手段之外的網絡安全重要防護方式。尤其在OWASP TOP 10安全漏洞中,60-70%的安全漏洞類型均可通過源代碼靜態分析技術檢測出來,因此在軟件開發期間,不斷用靜態代碼檢測工具查找代碼缺陷及安全漏洞,提高代碼質量,可以有效降低企業遭到網絡攻擊的風險。

5G時代,網絡安全威脅無處不在,殺病毒、防火墻、入侵檢測的傳統”老三樣“難以應對不斷進化的網絡攻擊,在軟件開發階段實時檢測、修復代碼漏洞,提升軟件本身的安全屬性,降低網絡安全風險,已經成為國際共識。Wukong(悟空)靜態代碼檢測工具,從源碼開始,為您的軟件安全保駕護航!

參讀鏈接:

www.woocoom.com/b021.html?i…

thehackernews.com/2021/09/hap…

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/119910.html

相關文章

  • Kubernetes首個嚴重安全漏洞發現者,談發現過程及原理機制

    摘要:北美時間月日,爆出嚴重安全漏洞,該漏洞由聯合創始人及首席架構師發現。反復深入研究后,我發現問題與不處理非響應和反向代理緩存連接有關。問題是,將僅在反向代理中執行許多請求的授權。大多數負載均衡器在看到升級請求而非響應后不會重用連接。 北美時間11月26日,Kubernetes爆出嚴重安全漏洞,該漏洞由Rancher Labs聯合創始人及首席架構師Darren Shepherd發現。該漏洞...

    darkerXi 評論0 收藏0
  • 防止 DDoS 攻擊的五個「大招」!

    摘要:另外,通過縮短半連接的時間也能有效防止攻擊,系統監控能夠通過自主設置的閾值發送報警,對系統情況進行整體的把控。 提到 DDoS 攻擊,很多人不會陌生。上周,美國當地時間 12 月 29 日,專用虛擬服務器提供商 Linode 遭到 DDoS 攻擊,直接影響其 Web 服務器的訪問,其中 API 調用和管理功能受到嚴重影響,在被攻擊的一周之內仍有部分功能不可用,嚴重影響其業務和成千上萬使...

    0x584a 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<