Upgrade to Pro — share decks privately, control downloads, hide ads and more …

HTTP/2 Desync Attacksを解説する

Avatar for kuzushiki kuzushiki
September 30, 2021
Technology
1k
2

HTTP/2 Desync Attacksを解説する

第11回 初心者のためのセキュリティ勉強会(https://sfb.connpass.com/event/224489/)の発表資料です

Avatar for kuzushiki

kuzushiki

September 30, 2021

More Decks by kuzushiki

See All by kuzushiki
ECS-cape – Hijacking IAM Privileges in Amazon ECSを解説する
Avatar for kuzushiki kuzushiki
0
270
Next.jsの脆弱性(CVE-2025-29927)の話
Avatar for kuzushiki kuzushiki
0
29
CISSPに出てくるセキュリティモデルとアクセス制御モデルをまとめてみた
Avatar for kuzushiki kuzushiki
0
350
攻撃者の視点から見たGraphQLのセキュリティ
Avatar for kuzushiki kuzushiki
0
30
PythonのURLパーサで見つかった脆弱性について解説する
Avatar for kuzushiki kuzushiki
0
50
Pythonのtarfileによる展開処理がセキュアになりそう
Avatar for kuzushiki kuzushiki
0
16
Web Cache Deception Attackについて解説する
Avatar for kuzushiki kuzushiki
0
38
PHP8.2の新機能✞SensitiveParameter✞につい て
Avatar for kuzushiki kuzushiki
0
26
Apple M1 CPUの脆弱性「PACMAN」について解説する
Avatar for kuzushiki kuzushiki
0
810

Other Decks in Technology

See All in Technology
Cursor Subagentsはいいぞ
Avatar for Yuji Yamaguchi yug1224
2
140
「活動」は激変する。「ベース」は変わらない ~ 4つの軸で捉える_AI時代ソフトウェア開発マネジメント
Avatar for 辻裕士/sentokun sentokun
0
150
Data Intelligence Engineering Unit 部門と各ポジション紹介
Avatar for SansanTech sansantech
PRO
0
120
Network Firewall Proxyで 自前プロキシを消し去ることができるのか
Avatar for ぐっさん gusandayo
0
190
GitHub Copilotを極める会 - 開発者のための活用術
Avatar for ファインディ株式会社(イベント資料アップ用) findy_eventslides
4
1.8k
AIにより大幅に強化された AWS Transform Customを触ってみる
Avatar for arap / 0air 0air
0
310
Podcast配信で広がったアウトプットの輪~70人と音声発信してきた7年間~/outputconf_01
Avatar for FORTE fortegp05
0
230
AWSで2番目にリリースされたサービスについてお話しします(諸説あります)
Avatar for Yuuki Yamashita yama3133
0
120
互換性のある(らしい)DBへの移行など考えるにあたってたいへんざっくり
Avatar for Takanori Sejima sejima
PRO
0
550
OPENLOGI Company Profile for engineer
Avatar for OPENLOGI hr01
1
62k
すごいぞManaged Kubernetes
Avatar for Haruka Sakihara harukasakihara
1
320
ログ基盤・プラグイン・ダッシュボード、全部整えた。でも最後は人だった。
Avatar for Masaki Kubota makikub
1
210

Featured

See All Featured
JavaScript: Past, Present, and Future - NDC Porto 2020
Avatar for David Neal reverentgeek
52
5.9k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
660
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
7.2k
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
350
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
183
10k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.4k
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
5
35k
[SF Ruby Conf 2025] Rails X
Avatar for Vladimir Dementyev palkan
2
910
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
180
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
273
27k

Transcript

  1. HTTP/2 Desync Attacks を解説する kuzushiki 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki

  2. 今回の発表内容 HTTP/2: The Sequel is Always Worse James Kettle |

    Director of Research, PortSwigger HTTP/1.1とHTTP/2との同期ズレ (DeSync) を突いた攻撃手法について 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki Black Hat USA 2021で興味深かった発表を紹介する 2 / 20

  3. HTTP/1.1 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki 3 / 20

  4. HTTP/2 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki 4 / 20

  5. HTTP/2で追加された概念 Binary Protocol HTTP/1はテキストベースなので曖昧な文字列のパースが必要 ex) ヘッダの終わりを知るために「:」を探す TCPのようなバイナリのプロトコルを採用 Message Length HTTP/1ではメッセージボディの長さを以下のヘッダで定義

    Content-Length Transfer-Encoding HTTP/2では削除 メッセージボディに長さのフィールドが組み込まれているため不要 メッセージ長を曖昧にする余地がほとんどない 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki 5 / 20

  6. HTTP/2 Desync Attacks 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki ようやく本題 6 / 20

  7. Request smuggling via HTTP/2 downgrades プロトコルの違いを利用してリクエストを密輸 (smuggling) 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki

    7 / 20

  8. H2.CL Desync on Netflix 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki リアルワールドの脆弱性を紹介 8 /

    20

  9. Before HTTP/2ではContent-Lengthヘッダは不要 なぜかRFCでは付与してもOK After リクエストを挿入し罠サイト 02.rs に誘導 Netflixのアカウントを侵害し,クレジットカード番号など の重要な情報を窃取できた 報奨金は200万円

    第11回 初心者のためのセキュリティ勉強会 kuzu7shiki 9 / 20

  10. H2.TE Desync on Application Load Balancer 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki リアルワールドの脆弱性を紹介

    10 / 20

  11. Before HTTP/2ではTransfer-EncodingヘッダはNG AWSはこれに従っていなかった After リクエストを挿入し罠サイト psres.net に誘導 報奨金は70万円 第11回 初心者のためのセキュリティ勉強会

    kuzu7shiki 11 / 20

  12. H2.TE via Request Header Injection 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki リアルワールドの脆弱性を紹介 12

    / 20

  13. Before HTTP/2はバイナリベース \r\nなどの特殊な文字列を挿入可能 After 被害者は悪意のあるNetlifyドメインからコンテンツを受け取 ることに 報奨金はMozilaから20万,Netlifyから20万円 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki

    13 / 20

  14. H2.X via Request Splitting 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki リアルワールドの脆弱性を紹介 14 /

    20

  15. Before chunked encodingを使わず,2回の\r\nでリクエストを 中断させようとした After しかし失敗 フロントエンドはHostヘッダを\r\n\r\nで終わらせるため, 独立したリクエストを挿入してしまった その結果... ->

    第11回 初心者のためのセキュリティ勉強会 kuzu7shiki 15 / 20

  16. 結果,障害レベルの事態に 1回の通信で2つの独立したリクエストを送信してしまった リクエストとレスポンスが一つずれてしまった Set-Cookieヘッダを含むレスポンスがあったため,異なるユーザのアカウントにログインできてしま った Atlassianは全ユーザのセッションを失効することで対処 報奨金は150万円 著者はかなり影響が大きいと考えている 第11回 初心者のためのセキュリティ勉強会

    kuzu7shiki 16 / 20

  17. Desync-Powered Request Tunnelling Smugglingの例とは異なり,IPごとにコネクションが張られている 他ユーザのレスポンスに影響が出ない この場合でも キャッシュポイゾニング が可能 第11回 初心者のためのセキュリティ勉強会

    kuzu7shiki 17 / 20

  18. Tunnelling Exploitation: Cache Poisoning 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki リアルワールドの脆弱性を紹介 18 /

    20

  19. Before POSTではレスポンスボディが大きすぎて上手く検知できず… HEADを用いてレスポンスボディをカット After 通常レスポンスヘッダはhtmlとしてみなされない 今回はレスポンスボディとして解釈されているためXSSが 発火 この時点でキャッシュが汚染される 他のユーザが /blog/?x=dontpoisoneveryone

    に アクセスしてもXSSが発火 報奨金は150万円 第11回 初心者のためのセキュリティ勉強会 kuzu7shiki ` ` 19 / 20

  20. おわりに HTTP/2 Desync Attacksを解説した 報奨金の多さ(計560万円!)から,とても深刻な脆弱性だということが分かった 紹介した脆弱性は以下のツールで発見できる(BApp Storeからインストール可) https://github.com/PortSwigger/http-request-smuggler E2EでHTTP/2を使うことが大切 第11回

    初心者のためのセキュリティ勉強会 kuzu7shiki 20 / 20