欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

谈谈我所了解的WEB代理

来源:本站整理 作者:佚名 时间:2018-08-30 TAG: 我要投稿
HTTP /% HTTP/1.1Host: www.test.com...
关于反向代理,有些地方很有意思。反代如果配置不当,就可能变为正代,然后就发生了内网漫游的安全问题。国外与国内都有类型的案例。贴两篇国内的文章:
http://wooyun.jozxing.cc/static/bugs/wooyun-2016-0191121.html (lijiejie)
https://mp.weixin.qq.com/s/EtUmfMxxJjYNl7nIOKkRmA(ChaMd5)
把HTTP请求的URI改为完整URI形式即可测试,如:
GET http://office.test.com HTTP/1.1Host: www.test.com...
而lijiejie的漏洞POC比较有意思,他给出的POC是这样的:
GET :@office.test.com HTTP/1.1Host: www.test.com...
熟悉URL结构的同学们知道,:@在这里是指认证信息。而,lijiejie还额外删去了协议名称与分隔符scheme://,笔者也不知道其中具体原因,正常来说,只会返回400。而添加了认证信息的HTTP请求被代理服务器接收到后,会将认证信息取出,设置给Authorization header字段,如:


另外,笔者发现有些人的HTTP请求喜欢加上Authorization: Basic Og==头部字段,难道这里有什么猫腻吗…
协议类型scheme还可以更改为其他,诸如 ftp、gopher、file等,具体情况要看代理服务器的支持能力。
关于反向代理,还有一个比较有意思的地方。有些程序员为了降低服务的的带宽压力,在客户端发送HTTP POST 数据包之前,会将客户端请求体内的数据进行压缩,然后在头部指明压缩类型,如gzip,数据包类似下面这样:
POST /index.php HTTP/1.1Host: www.test.comContent-Type: application/x-www-form-urlencoded; charset=UTF-8Content-Encoding: gzipContent-Length: 38...._.{[...L.-....S(N.IM.Q0....0.....
当防火墙处于最外层,流量先经过防火墙后再经过反向代理,假如防火墙不支持解压HTTP Request的包体,或是无法识别该类型的压缩,则十分可能发生安全问题。
另外提一下,有些同学可能对URI与URL有点混淆,记住URL是URI的子集即可。
HTTP转发扩展
RFC7239文档中说到,在很多情况下,用户网络中存在着代理,而这些代理又屏蔽了客户端的很多信息,诸如IP地址。所以文档提议增加X-Forwarded-For等字段,方便进行访问控制、诊断等。其中还说到,这些字段对反向代理也应起作用。
https://tools.ietf.org/html/rfc7239
在提供Web代理IP的网站上,我们可以发现其提供的代理存在匿名与非匿名两种,通过查看代理服务器的HTTP请求是否带有X-Forwarded-For字段即可判断代理是否匿名。很多代理是非开放的,需要认证信息Proxy-Authorization
关于代理转发扩展,除了X-Forwarded-For该种的,还有很多,比如:
X-Originating-IP: 127.0.0.1X-Remote-IP: 127.0.0.1X-Remote-Addr: 127.0.0.1X-Client-IP: 127.0.0.1
除了X-Forwarded-For,其他都是非标准字段。在BurpSuit插件商店中,有款名为Bypass WAF的插件,能让Burp的所有请求自动添加这些头部字段,还做了其他很多扩展,感兴趣的同学可以看看。
https://www.codewatch.org/blog/?p=408
结语
刚刚接触HTTP时,Web代理的相关知识一直获取到的不多,后来慢慢发现其实还是很重要的。这篇文章也是对自己在web代理知识方面的一个小结,由于笔者水平有限,如果有错误的地方,欢迎大家指出。
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载