Программист, обнаруживший уязвимости в web-прокси, получил $56 тыс.

Вознаграждение $56 тысяч получил программист за выявление нового варианта атаки на web-прокси, 7 августа сообщает OpenNET.ru.

Программист, обнаруживший и продемонстрировавший возможности атаки на системы web-прокси сервисов Netflix, Verizon, Bitbucket, Netlify CDN и Atlassian, получил 56 тысяч долларов вознаграждения по программе выплат за выявление уязвимостей.

Новому варианту атаки «HTTP Request Smuggling», оказались подвержены Web-системы, в которых фронтэнд принимает соединения по HTTP/2 и передаёт бэкенду по HTTP/1.1.

Атака позволяет через отправку клиентских запросов внедряться в содержимое запросов других пользователей, подвергаемых обработке в том же потоке между фронтэндом и бэкендом. Например, оказалась возможна подстановка вредоносного JavaScript-кода в сеанс с безопасным сайтом, совершая обход системы фильтрации доступа и перехватывая параметры аутентификации.

Опасности подвержены web-прокси, балансировщики нагрузки, web-акселераторы, системы доставки контента и другие конфигурации, реализующие перенаправление запросов по схеме фронтэнд-бэкенд.