Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

Все новости из мира ОС Linux, BSD, Unix
Ответить
Аватара пользователя
[Ботя]
Тролль
Тролль
Сообщения: 89723
Зарегистрирован: 07 мар 2019, 15:48
ОС: MSDOS

Новая атака на системы фронтэнд-бэкенд, позволяющая вклиниться в запросы

Сообщение [Ботя] » 07 авг 2021, 16:30

Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1, оказались подвержены новому варианту атаки "HTTP Request Smuggling", позволяющей через отправку специально оформленных клиентских запросов вклиниваться в содержимое запросов других пользователей, обрабатываемых в том же потоке между фронтэндом и бэкендом. Атака может быть использована для подстановки вредоносного JavaScript-кода в сеанс с легитимным сайтом, обхода систем ограничения доступа и перехвата параметров аутентификации.

Подробнее...

Ответить

Вернуться в «Новости *nix»