The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"HTTP-заголовок Alt-Svc может применяться для сканирования по..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от opennews (?), 14-Авг-19, 15:15 
Исследователи из Бостонского университета разработали (https://www.usenix.org/conference/woot19/presentation/tiwari) метод атаки
(CVE-2019-11728), позволяющий (https://www.usenix.org/system/files/woot19-paper_tiwari.pdf) осуществить сканирование IP-адресов и открытых сетевых портов во внутренней сети пользователя, отгороженной от внешней сети межсетевым экраном, или на текущей системе (localhost). Атака может быть совершена при открытии в браузере специально оформленной страницы. Предложенная техника  основана на применении HTTP-заголовка Alt-Svc (https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Al...) (HTTP Alternate Services, RFC-7838 (https://datatracker.ietf.org/doc/rfc7838/)). Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Browser и Brave.


Заголовок Alt-Svc позволяет серверу определить альтернативный способ обращения к сайту и проинструктировать браузер о необходимости перенаравить запрос на новый хост, например, для балансировки нагрузки. В том числе возможно указание сетевого порта для проброса, например, указание 'Alt-Svc: http/1.1="other.example.com:443";ma=200' предписывает клиенту для получения запрошенной страницы соединиться с хостом other.example.org, используя сетевой порт 443 и протокол HTTP/1.1. Параметр "ma" задаёт максимальное время действия перенаправления. Кроме HTTP/1.1, в качестве протоколов поддерживаются HTTP/2-over-TLS (h2), HTTP/2-over plain text (h2c), SPDY(spdy) и QUIC (quic), использующий UDP.


Для сканирования адресов сайт атакующего может последовательно перебирать интересующие адреса внутренней сети и сетевые порты, используя в качестве признака задержку между повторными запросами.
В случае недоступности перенаправляемого ресурса браузер мгновенно получает в ответ пакет RST и сразу помечает альтернативный сервис недоступным и обнуляет заданное в запросе время жизни перенаправления.
Если сетевой порт открыт то для завершения соединения требуется больше времени (будет предпринята попытка установки соединения с соответствующим обменом пакетами) и браузер отреагирует не мгновенно.

Для получения информации о проверке атакующий может следом сразу перенаправить пользователя на вторую страницу, которая в заголовке Alt-Svc сошлётся на работающий хост атакующего. Если браузер клиента отправит запрос на данную страницу, то можно считать, что перенаправление первого запроса Alt-Svc сброшено и  проверяемый хост и порт недоступны. Если запроса не последовало, значит данные о первом перенаправлении ещё не просрочены и соединение было установлено.


Указанный метод позволяет в том числе проверять сетевые порты, занесённые в чёрный список  браузера, такие как порты почтовых серверов. Работающая атака подготовлена с использованием подстановки iframe в трафик жертвы и применения в Alt-Svc протокола HTTP/2 для Firefox и QUIC для сканирования UDP-портов в Chrome. В Tor Browser атака не может применяться в контексте внутренней сети и localhost, но подходит для организации скрытого сканирования внешних хостов через выходной узел Tor. Проблема со сканированием портов уже устранена (https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/) в Firefox 68.


Заголовок Alt-Svc также может применяться:


-  В качестве усилителя трафика при организации DDoS-атак (сервер возвращает больше данных, чем отправил клиент) Например, для TLS перенаправление может обеспечить уровень усиления в 60 раз так как начальный запрос клиента занимает 500 байт, ответ с сертификатом около 30 Кб;

-  Для обхода механизмов защиты от фишинга и вредоносного ПО, предоставляемых такими сервисами, как Safe Browsing (перенаправление на вредоносный хост не приводит к выводу предупреждения);

-  Для организации отслеживания перемещения пользователя. Суть метода в подстановке iframe, ссылающегося  в Alt-Svc на внешний обработчик отслеживания перемещения, вызов которого осуществляется невзирая на включение средств для защиты от трекеров. Также возможно отслеживание на уровне провайдеров через использования в Alt-Svc уникального идентификатора (случайные IP:порт как идентификатор) с его последующим анализом в транзитном трафике;

    

-  Для извлечения сведений об истории перемещений. Подставив на свою страницу iframe с запросом картинки с заданного сайта, использующего Alt-Svc, и проанализировав состояние Alt-Svc в трафике, атакующий, имеющий возможность анализа транзитного трафика, может сделать вывод о том, что пользователь ранее уже посещал указанный сайт;

-  Зашумление логов систем определения вторжений. Через Alt-Svc можно вызвать волну запросов к вредоносным системам от имени пользователя и создать видимость ложных атак для скрытия в общем объёме сведений о реальной атаке.

URL: https://www.theregister.co.uk/2019/08/13/header_banged_for_b.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=51278

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +56 +/
Сообщение от вейланд (?), 14-Авг-19, 15:15 
Напридумывают заголовков, а потом ломают друг друга в порты!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. Скрыто модератором  +/
Сообщение от Аноним (2), 14-Авг-19, 15:17 
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. Скрыто модератором  +3 +/
Сообщение от ansible (?), 14-Авг-19, 15:20 
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. Скрыто модератором  +/
Сообщение от Аноним (4), 14-Авг-19, 15:24 
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +10 +/
Сообщение от Аноним (6), 14-Авг-19, 15:26 
about:config -> network.http.altsvc.enabled: false
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +1 +/
Сообщение от ананим.orig (?), 14-Авг-19, 16:06 
всё равно, красиво задумано.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

27. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Аноним (27), 14-Авг-19, 23:04 
Спасибо
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

28. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Аноним (28), 14-Авг-19, 23:13 
https://github.com/ghacksuserjs/ghacks-user.js/blob/master/u... :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  –11 +/
Сообщение от Michael Shigorinemail (ok), 14-Авг-19, 16:34 
А хоть один случай применения на пользу в масштабах, отличных от нуля, был вообще замечен?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  –2 +/
Сообщение от пох. (?), 14-Авг-19, 16:50 
ты имеешь в виду, удалось ли сп...ть чьих-то денег? Не, вряд ли.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору
Часть нити удалена модератором

15. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Аноним (15), 14-Авг-19, 17:37 
Может таки имелось ввиду, есть ли вообще польза от такого заголовка, кроме "описанной в статье"?:)
Ответить | Правка | Наверх | Cообщить модератору

18. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +1 +/
Сообщение от ыы (?), 14-Авг-19, 18:46 
а вы посмотрите на авторов RFC...
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

36. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +1 +/
Сообщение от пох. (?), 15-Авг-19, 10:25 
не понял, где посмотреть - разьве этих трех макак уже в зоопарк сдали?
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

14. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +5 +/
Сообщение от Анонимemail (14), 14-Авг-19, 17:19 
-у вас несчастные случаи были?
-нет
-будут.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +4 +/
Сообщение от Анончик (?), 14-Авг-19, 17:55 
Да, для перенаправления пользователей Tor на onion-версию сервиса вместо клирнетовой (что позволяет избежать потенциально подслушивающих экзит-нод Тора).
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

38. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Всем Анонимам Аноним (?), 16-Авг-19, 07:42 
QUIC
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Kuromi (ok), 14-Авг-19, 16:39 
"Проблема проявляется в Firefox, Chrome и основанных на их движках браузерах, включая Tor Browser и Brave."
То есть везде.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +3 +/
Сообщение от Аноним (13), 14-Авг-19, 17:12 
В lynx нет такой проблемы.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

20. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +2 +/
Сообщение от Аноним (20), 14-Авг-19, 19:19 
Кстати в шапочке из фольги тоже нет такой уязвимости.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +1 +/
Сообщение от Anonimous (?), 15-Авг-19, 02:11 
> Кстати в шапочке из фольги тоже нет такой уязвимости

Хаха, шапочка из фольги работает только против инопланетян,
для всего остального должна быть другая шапочка -
из 15мм омеднённого урана, с кевларовой подкладкой и алмазным покрытием!

В общем, не слушайте его, он тролль!

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

39. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от XoRe (ok), 18-Авг-19, 23:52 
> омеднённого урана

Что мы будем делать сегодня?
Мы будем обмазывать уран медом!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

16. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Аноним (16), 14-Авг-19, 17:50 
В palemoon этот бэкдор не обнаружен
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +2 +/
Сообщение от Пупкин Вася (?), 14-Авг-19, 23:41 
Ну не знаю, я у себя нашёл "network.http.altsvc.enabled=true"...
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

21. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  –5 +/
Сообщение от xm (ok), 14-Авг-19, 19:23 
Особенно занимательно будет послушать искпердов из предыдущего топика которые брызгая слюной кричали что HTTP/1.1 это надёжно, а HTTP/2 - "нинужна".
Говорите громче - плохо слышно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Alexeyemail (??), 14-Авг-19, 19:28 
А по чему бы и нет, если в браузер заложена такая функция. Пора бы уже просто встроить полное управление удалённой машиной, на случай "возможной помощи пользователю". Да и вообще сделать подключение узла в виде встраивания в кластер, по паспорту конечно, а то мало ли малолетние хулиганы там чего..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Пупкин Вася (?), 14-Авг-19, 23:45 
А вот это вы зря с таким сарказмом пишете. Вполне вероятный сценарий будущего, sad but true...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

23. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Аноним (23), 14-Авг-19, 21:32 
Насколько я понимаю сканировать порты давно возможно с помощью javascript, просто обращаешься к http://localhost:1000, http://localhost:1001, почему именно alt-svc вызывает опасение?

https://habr.com/ru/post/456558/

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +1 +/
Сообщение от Аноним (24), 14-Авг-19, 22:02 
Наверное тем, что прямое сканированеи очень бросается в глаза, если вдруг глянуть в нетворк монитор.. А обращения зерез заголовок будут типа к самому сайту.. а детали только если сильно внутрь заглядыватью. Если обращений к сайту много, а с заголовкмо только малая часть, то... умаетесь искать..
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  –3 +/
Сообщение от Michael Shigorinemail (ok), 14-Авг-19, 22:12 
> сканировать порты давно возможно с помощью javascript

Это если он включен/разрешён.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

32. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Аноним (32), 15-Авг-19, 07:18 
HTTP Alternate server
HTTP Alternate downloader
HTTP Alternate trojan
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от someone (??), 15-Авг-19, 08:00 
интересно когда-нибудь браузеры будут по-умолчанию блокировать левыми CA? Ну например проверить несколько ресурсов (тот же амазон и гугл) и если они подписаны одним CA - выдавать "предупреждение" и ничего не открывать? Например, установленные в систему софтом, возможно, вредоносным. Конечно, это больше относится к оффтопику (Windows), но тем не менее.. В Firefox хоть есть свое хранилище, хромиум и основанное на нем использует системное.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от forum reader (?), 15-Авг-19, 09:47 
И чего ты добьешся этим?  Только того что "возможно" вредоносный софт будет на лету генерить новые сертификаты при каждой новой сессии с ресурсами.

Поставь себе плагин Certificate Patrol и полазай по яндексу или алиэкспрессу. Заколебешся принимать новые сертификаты для одних и тех же хостов, выданные разными СА, с разными сроками действия.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +1 +/
Сообщение от пох. (?), 15-Авг-19, 10:23 
как раз с яндексом и али все в пределах допустимого - и хосты там, если присмотришься, вовсе не одни и те же, и дальше ограничений на CA можно не лимитировать (это кого надо CA)

А вот все остальное - с летшиткриптой, которая каждый день разная - увы, да.

Все, кончился и этот способ хоть как-то держать ситуацию под твоим, а не дядиным, контролем.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "HTTP-заголовок Alt-Svc может применяться для сканирования по..."  +/
Сообщение от Аноним (27), 15-Авг-19, 16:09 
https://www.mozilla.org/en-US/security/advisories/mfsa2019-21/

В актуальном Firefox 68 уже исправлено

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру