https://www.opennet.ru/openforum/vsluhforumID3/118093.html Раскрыты (https://portswigger.net/blog/http-desync-attacks-request-smuggling-reborn) детали новой атаки на сайты, использующие модель фронтэнд-бэкенд, например, работающие через сети доставки контента, балансировщики или прокси. Атака позволяет через отправку определённых запросов вклиниваться в содержимое других запросов, обрабатываемых в том же потоке между фронтэндом и бэкендом. Предложенный метод успешно применён для организации атаки, позволяющей перехватывать параметры аутентификации пользователей сервиса PayPal, который выплатил исследователям около 40 тысяч долларов в рамках программы информирования о наличии неисправленных уязвимостей. Атака также применима для сайтов, использующих сеть доставки контента Akamai.<br><br><br>Суть проблемы в том, что фронтэнды и бэкенды зачастую обеспечивают разный уровень поддержки протокола HTTP, но при этом инкапсулируют запросы разных пользователей в общий канал. Для связи принимающего запросы фронтэнда и обрабатывающего запросы бэкенда устанавливается долгоживующее TCP-со https://www.opennet.ru/openforum/vsluhforumID3/118093.html#38 Thu, 29 Aug 2019 16:39:13 GMT как же юзеры опеннета сгнили.<br> https://www.opennet.ru/openforum/vsluhforumID3/118093.html#37 Mon, 12 Aug 2019 14:30:47 GMT Защищаться от такого дорого слишком.<br> https://www.opennet.ru/openforum/vsluhforumID3/118093.html#36 Mon, 12 Aug 2019 14:29:29 GMT Довольно типичный подход, когда валят в поток что попало, а потом на стороне сервера это что-попало разбирают формально безо всякого анализа.<br> https://www.opennet.ru/openforum/vsluhforumID3/118093.html#35 Mon, 12 Aug 2019 13:34:15 GMT Да-да, оторвать руки всем тем кто запрещает '+' использовать.<br> https://www.opennet.ru/openforum/vsluhforumID3/118093.html#34 Mon, 12 Aug 2019 08:25:24 GMT Валидность адреса и валидность аргумента SMTP команды &#8212; это же разные вещи, речь идет о первом, очевидно что второе должно присутствовать в любом случае.<br> https://www.opennet.ru/openforum/vsluhforumID3/118093.html#33 Sun, 11 Aug 2019 09:41:56 GMT &gt; Заметьте, если во всей цепочке используется HTTP/2 то проблемы нет.<br><br>ну да, зачем все эти геморрои со всраиванием в запросы, когда можно просто стать рутом/вебъюзером на cdn через стопиццотую дыру в нескучном бинарном протоколе.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/118093.html#32 Sun, 11 Aug 2019 03:09:45 GMT И сейчас оно никуда не ушло.<br> https://www.opennet.ru/openforum/vsluhforumID3/118093.html#31 Sat, 10 Aug 2019 19:51:16 GMT В таких случаях 3 вещи:<br>- Проверяем через RegExp на клиенте;<br>- Проверяем через RegExp на сервере тоже (ибо никогда не верь клиенту);<br>- Если просто в голо делать конкатенации строк на сервере (того что пришло с клиента) без проверок и использования экранирования - ССЗБ.<br><br>Если нету всех трех вещей - зачем брать в руки редактор?<br> https://www.opennet.ru/openforum/vsluhforumID3/118093.html#30 Fri, 09 Aug 2019 11:05:00 GMT У админа хорошая память, помнит что в 2005 постил<br>