ЧАСТЬ 1
НАРУШЕНИЕ РАБОТЫ ПАРСЕРОВ HTTP С ПОМОЩЬЮ HTTP GARDEN
Нарушения в парсинге HTTP происходят постоянно, как мелкие, так и крупные. Существует бесконечное количество комбинаций серверов и обратных прокси, но некоторые из этих несоответствий опасны только в очень специфических контекстах.

Речь идет об ошибках, которые исследователи нашли в серверах и обратных прокси, а также о инструментах, которые мы все можем использовать для их обнаружения.

ОСНОВЫ
Мы будем говорить об ошибках, приводящих к request smuggling. Все мы понимаем основы запросов и ответов HTTP/1.

HTTP-запрос состоит из трех частей:
- Первая строка – МЕТОД, РЕСУРС и ВЕРСИЯ-HTTP
- Заголовки в формате КЛЮЧ: ЗНАЧЕНИЕ. Сюда входят произвольные заголовки и заголовки, очень важные для HTTP, как Content-Length, который указывает длину тела.
- Тело

Ответы примерно такие же:
- Первая строка – ВЕРСИЯ-HTTP, КОД СТАТУСА ОТВЕТА и СООБЩЕНИЕ-ОТВЕТА
- Заголовки
- Тело

Важно, что эти части разделяются новыми строками или, более конкретно, последовательностью CRLF – байты 0x0d (\r) и 0x0a (\n).

Несоответствия становятся проблемой, особенно когда несколько HTTP-запросов объединяются в одно TCP-соединение.

Рассмотрим некоторые реальные ошибки

CESANTA MONGOOSE
Как сервер определяет, когда один запрос заканчивается, и начинается другой? Если сервер знает, что заголовки имеют длину 39 байт (он знает это, найдя \r\n\r\n), а тело имеет 10 байт, он понимает, что после 49 байт текущий запрос заканчивается, и начинается следующий.

Однако, что произойдет, если вы отправите content-length равным -10? Вы должны получить 400 Bad Request, но Cesanta Mongoose этого не сделал.

Вместо этого, он добавил -10 к 39, что дало в результате 29. Таким образом, он потреблял последние 20 байт текущего запроса и следующего запроса. Здесь легко провести request smuggling, но еще интереснее, если вы установите content-length равным -39, потому что тогда он добавит -39 к 39 и потребит весь текущий запрос как следующий.

LITESPEED
Litespeed рассматривал число, начинающееся с 0, как шестнадцатеричное. Когда вы отправляете ему content-length равный 010, обратный прокси, например HAProxy, будет обрабатывать это как десятичное 10, но все равно будет пересылать неизмененное значение 010 как content-length.

Затем Litespeed видит 010 и обрабатывает его как шестнадцатеричное 10 или десятичное 8. Таким образом, он видит последние два байта тела как начало следующего запроса.

Если HAProxy выполняет аутентификацию или блокирует некоторые пути, вы можете провести request smuggling и обойти ACL.

Чтобы создать POC, нужно конечно провести некоторые математические расчеты с длинами содержимого, а также добавить третий запрос. Это потому, что когда вы отправляете 1 запрос в HAProxy - он отправит вам 1 ответ, даже если Litespeed видит много "контрабандных" запросов.

Таким образом, у нас есть запросы 1, 2, 3, но HAProxy видит только 1 и 3, в то время как Litespeed видит только 1, 2. Более того, HAProxy кэширует ответ.

Как-то не заходят мне айтишные мемы, но от этого прям посмеялся)

Привет!😋
Уже прямо сейчас кто-то читает это обращение из 2024 года. Скажите мне, как там у вас?) Надеюсь все очень хорошо и по итогам 2024 не придется говорит "этот год был непростым".

2023 год был наполнен как значительными успехами, так и серьёзными вызовами.
Мы были свидетелями усиления мер по защите данных в связи с ростом киберугроз, видели, как важно стало обучение специалистов в области кибербезопасности. Технологии ИИ и машинного обучения внесли свой вклад в развитие наших методов и подходов. С другой стороны, мы столкнулись с увеличением количества и сложности атак.

Пусть 2024 год станет временем новых открытий и достижений для каждого из нас. Желаю вам оставаться на острие технологий, сохранять любознательность и стремление к развитию. Пусть каждый ваш проект будет успешным, а каждое решение способствует укреплению безопасности в цифровом мире.

Все вышеперечисленное конечно хорошо, но в этом Новом Году хочу пожелать вам не только профессиональных успехов, но и моментов счастья с вашими семьями и близкими. Пусть ваш дом будет полон тепла, а работа приносит удовлетворение. Желаю вам здоровья, благополучия и мира, чтобы мы могли вместе строить безопасное будущее для себя и наших близких.

С наступающим Новым Годом! 😍🎁❤️

В уходящем 2023 году, организации, выступающие в роли операторов персональных данных, столкнулись со штрафами за утечки конфиденциальной информации своих клиентов и пользователей в общем размере в 4,6 млн рублей.

💬 С учетом стоимости одного межсетевого экрана в эту сумму, понятно, что эти штрафы никак не повлияли на организации. Применяли бы утечку данных одного субъекта как один эпизод - сумма штрафов выросла бы многократно, и не надо бы было заморачиваться с оборотными штрафами.

#новости #экспертноемнение #ПДн #штрафы

Сразу вспоминается штраф для Яндекс Еды в размере 60 тысяч рублей за утечку данных пользователей. В яндексе наверное очень долго смеялись.

Не знаю почему у человека так мало подписчиков. довольно интересные посты и заметки выкладывает, хоть и редко.
Если что - лимит можно убрать тут, чтоб вы не искали:
subfinder/v2/pkg/subscraping/sources/crtsh /crtsh.go

OWASP Mobile Top 10 2023: Новые Горизонты в Мире Мобильной БезопасностиСвежий отчет OWASP Mobile Top 10 2023 открывает новые перспективы в понимании угроз безопасности мобильных приложений. Давайте углубимся немного.

Сдвиг Фокуса от Традиционных Угроз к Сложным Экосистемам:
Новый акцент на недостаточной безопасности цепочки поставок указывает на сдвиг фокуса безопасности от отдельных приложений к целым экосистемам. Это подчеркивает рост сложности и взаимозависимости в мобильной разработке.

Эволюция Угроз, Понимание Скрытых Рисков:
Внимание к недостаточным контролям защиты личных данных и недостаточной криптографии. Это отражает растущее осознание того, что многие мобильные приложения остаются уязвимыми к сложным атакам, нацеленным на персональные данные.

Связь с Регулятивными Требованиями и Их Влияние:Размышления о влиянии GDPR и других международных стандартов на эволюцию мобильной безопасности. Это подчеркивает, как внешние нормативные требования формируют практики и приоритеты в сфере безопасности.

Выводы: Будущее Мобильной БезопасностиЭти изменения намекают на более широкие тренды в цифровой безопасности. Мы видим переход от реактивного подхода к безопасности к стратегиям, основанным на предвидении угроз. Это требует глубокого понимания не только технологий, но и поведения пользователей, бизнес-процессов и международного регулирования.
Этот анализ предлагает новый взгляд на то, как мы должны подходить к мобильной безопасности в эпоху цифровой трансформации.

owasp.org

OWASP Mobile Top 10 | OWASP Foundation

OWASP Mobile Top 10 on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

Презентация которая в статье по ссылке на веб архив.