响应队列中毒
响应队列中毒是一种强大的请求走私攻击形式,它会导致前端服务器开始将响应从后端映射到错误的请求。实际上,这意味着同一前端/后端连接的所有用户都将获得针对其他人的持久响应。
这是通过走私一个完整的请求来实现的,从而在前端服务器只期望一个响应时从后端引发两个响应。
响应队列中毒有什么影响?
响应队列中毒的影响通常是灾难性的。一旦队列中毒,攻击者只需发出任意的后续请求即可捕获其他用户的响应。这些响应可能包含敏感的个人或业务数据,以及会话令牌等,这实际上授予攻击者对受害者帐户的完全访问权限。
响应队列中毒还会导致严重的附带损害,有效地破坏任何其他用户的站点,这些用户的流量通过同一TCP连接发送到后端。在尝试正常浏览站点时,用户将收到来自服务器的看似随机的响应,这将阻止大多数功能正常工作。
如何构造响应队列中毒攻击
要成功进行响应队列中毒攻击,必须满足以下条件:
- 前端服务器和后端服务器之间的 TCP 连接在多个请求/响应周期中重复使用。
- 攻击者能够成功走私一个完整的独立请求,该请求从后端服务器接收自己的独特响应。
- 该攻击不会导致任一服务器关闭 TCP 连接。服务器通常在收到无效请求时关闭传入连接,因为它们无法确定请求应该在哪里结束。
了解请求走私的后果
请求走私攻击通常涉及走私部分请求,服务器将其作为前缀添加到连接上下一个请求的开头。请务必注意,走私请求的内容会影响初始攻击后连接发生的情况。
如果您只是偷运一个带有一些标头的请求行,假设不久之后在连接上发送了另一个请求,则后端最终仍会看到两个完整的请求。
如果您改为走私也包含正文的请求,则连接上的下一个请求将追加到走私请求的正文中。这通常具有基于明显 .因此,后端有效地看到三个请求,其中第三个“请求”只是一系列剩余的字节:Content-Length
前端 (CL)
后端 (TE)
由于这些剩余字节不构成有效请求,这通常会导致错误,导致服务器关闭连接。
走私完整的请求
只要小心一点,您就可以走私一个完整的请求,而不仅仅是一个前缀。只要您一次发送两个请求,连接上的任何后续请求都将保持不变:
前端 (CL)
后端 (TE)
请注意,没有无效请求到达后端,因此连接在攻击后应保持打开状态。
取消同步响应队列
当您走私一个完整的请求时,前端服务器仍然认为它只转发了一个请求。另一方面,后端看到两个不同的请求,并将相应地发送两个响应:
前端将第一个响应正确映射到初始“包装器”请求,并将其转发到客户端。由于没有进一步的请求等待响应,因此意外的第二个响应将保留在前端和后端之间连接的队列中。
当前端收到另一个请求时,它会照常将其转发到后端。但是,在发出响应时,它会发送队列中的第一个响应,即剩余的响应到走私请求。
然后,来自后端的正确响应将没有匹配的请求。每次将新请求通过同一连接转发到后端时,都会重复此循环。
窃取其他用户的回复
一旦响应队列中毒,攻击者只需发送任意请求即可捕获其他用户的响应。
他们无法控制他们收到哪些响应,因为他们将始终被发送到队列中的下一个响应,即对前一个用户请求的响应。在某些情况下,这的兴趣有限。但是,使用Burp Intruder等工具,攻击者可以轻松地自动执行重新发出请求的过程。通过这样做,他们可以快速获取针对不同用户的各种响应,至少其中一些可能包含有用的数据。
只要前端/后端连接保持打开状态,攻击者就可以继续窃取此类响应。关闭连接的确切时间因服务器而异,但常见的默认设置是在处理了 100 个请求后终止连接。一旦当前连接关闭,重新毒害新连接也是微不足道的。
为了更轻松地区分被盗响应和对您自己的请求的响应,请尝试在您发送的两个请求中使用不存在的路径。这样,您自己的请求应该始终收到 404 响应。