Reverse proxies & Inconsistency

Современные веб-сайты обрастают различными реверс-прокси и балансировкщиками. Их используют для различных целей: роутинг запросов, кеширование, выставление дополнительных заголовков, ограничения доступа. Иными словами, реверс-прокси должны и парсить входящие запросы, и определенным образом преобразовывать их. Но парсинг путей может быть достаточно хитрой задачей из-за несоответствия в парсинге у различных веб-серверов, да и преобразование запроса может иметь различные последствия, с точки зрения информационной безопасности. Был проведён анализ различных реверс-прокси в разных конфигурациях, как они парсят запросы, применяют правила, кешируют. В докладе будет рассказано, как об общих процессах и специфичных тонкостях происходящих на прокси, так и о техниках обхода ограничений и расширения доступа в веб-приложении, а также о новых вариациях client-side атак типа web cache deception, cache poisoning.

Алексей (GreenDog) Тюрин

Старший исследователь информационной безопасности, пентестер, имеющий более восьми лет работы в сфере. За свою карьеру хакнул много чего, в частности, ERP- и банковские системы, а также сети Windows. Последние 4 года Алексей занимается веб-хакингом. Он любит делиться собственными знаниями и опытом. Так, Алексей был организатором Defcon Russia (DCG #7812) и в течение пяти лет вел колонку EasyHack в журнале «Xakep». В свое время его укусил Демон десериализации, так что дважды подумайте, прежде чем заводить с ним разговоры на эту тему.

Поделись в соцсетях

Like!