Node.js 易受新型 HTTP 请求夹带技术攻击
PortSwigger 网站近日报道了 Node.js 存在两个 HTTP 请求夹带(HTTP request smuggling,简称 HRS)攻击漏洞,并指出其中一个漏洞似乎使用了新的 HRS 技术。
HTTP 请求夹带技术是由一个或多个用户同时对目标网站服务器发起大量请求,通过构造特殊结构请求,干扰网站服务器对请求的处理(主要是干扰 HTTP 请求序列),从而实现攻击目标。
据介绍,这些漏洞由 Mattias Grenfeldt 和 Asta Olofsson 在瑞典 KTH 皇家理工学院计算机科学学士学位论文研究中发现。Grenfeldt 称,刚开始他们在六个开源 Web 服务器和六个开源代理中寻找 HTTP 请求夹带漏洞。Node.js 就是其中被调查的项目之一,但他们当时没有发现任何问题。经过一段时间后,在报告项目中发现的其他问题时,他们偶然发现了 Node.js 的这两个漏洞。
漏洞之一 CVE-2021-22959 使用了常见的 HRS 技术,它通过利用 HTTP 请求中 header 允许存在空格的特性,从而进行 HTTP 请求夹带攻击。因为 HTTP 解析器接受在 header 名称之后和冒号之前带有空格的请求。
Grenfeldt 解释道,这种 HRS 技术十分常见,在这种情况下,Node.js 会将 ‘Content-Length : 5’ 解释为 ‘Content-Length: 5’,如果与忽略此类 header 且未经修改地转发它们的代理结合使用,则有可能会被用于 HRS 攻击。
而另一个漏洞 CVE-2021-22960 似乎使用了新的 HRS 技术,其通过结合代理中的错误行终止和 Node.js 中块扩展的错误解析,从而进行 HTTP 请求夹带攻击。
Grenfeldt 和 Olofsson 发现易受攻击的代理往往会查找单个换行符 (LF) 来终止包含块大小的行,但没有像往常一样检查 LF 之前是否有回车。
“就在此行终止之前是很少使用的块扩展功能的地方。在块扩展中,开发者可以在块大小之后指定额外的参数,例如‘a=b’。然而,很少在系统中实现对此的解析,而许多情况会允许该区域中的任何字节“,Grenfeldt 继续解释道。
最后,Grenfeldt 和 Olofsson 于 6 月 19 日至 20 日反馈了这些问题,Node.js 于 10 月 12 日发布了修复程序。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
人民银行等多部门联合发布《关于规范金融业开源技术应用与发展的意见》
中国人民银行官网公告称,人民银行办公厅、中央网信办秘书局、工业和信息化部办公厅、银保监会办公厅、证监会办公厅于近日联合发布《关于规范金融业开源技术应用与发展的意见》(以下简称《意见》)。 近年来,开源技术在金融业各领域得到广泛应用,在推动金融机构科技创新和数字化转型方面发挥着积极作用,但也面临安全可控等诸多挑战。《意见》的出台,有助于规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展。 《意见》要求金融机构在使用开源技术时,应遵循“安全可控、合规使用、问题导向、开放创新”等原则。《意见》鼓励金融机构将开源技术应用纳入自身信息化发展规划,加强对开源技术应用的组织管理和统筹协调,建立健全开源技术应用管理制度体系,制定合理的开源技术应用策略;鼓励金融机构提升自身对开源技术的评估能力、合规审查能力、应急处置能力、供应链管理能力等;鼓励金融机构积极参与开源生态建设,加强与产学研交流合作力度,加入开源社会组织等。《意见》强调要加强统筹协调,建立跨部门协作配合、信息共享机制,完善金融机构开源技术应用指导政策,探索建立开源技术公共服务平台,加强开源技术及应用标准化建设...
- 下一篇
谷歌推出开源平台 Dev Library ,展示 Google 技术相关的开源项目
2021 年 10 月 7 日,谷歌开发者社区创建了一个新的开源平台——“Dev Library”,这个平台主要用于展示一些与 Google 技术相关的开源项目,包括开源工具包和相关技术博客”。 Dev Library 的项目基本来自 Github, Dev Library 主要是为项目提供一个介绍页面,让项目能被更多人知道,项目具体源代码还是链接到 Github 上获取。任何人都可以在Dev Library提交作品申请,但是谷歌表示:”不是所有提交的文章或项目都能放上这个平台。谷歌专家团队会对这些项目和文章进行审核。” 目前,Dev Library 首页有 6 个大的技术分类,分别是机器学习、Flutter、Firebase、Angular、Google Cloud 和 Android 。虽然平台发布的时间不长,但每个分类都已经收录了非常多项目,其中不乏一些优质项目,如: Detekt :Kotlin 静态代码分析工具 PeopleInSpace :展示如何使用 Kotlin Multiplatform 创建跨平台应用程序 Clarity :一个可扩展/定制的设计系统 ... 目前,...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS关闭SELinux安全模块
- CentOS7设置SWAP分区,小内存服务器的救世主
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS7安装Docker,走上虚拟化容器引擎之路