Статья

Название статьи РАССМОТРЕНИЕ HTTP-ЗАГОЛОВКА СТАНДАРТА ДЕ-ФАКТО X-FORWARDED-FOR КАК ЭЛЕМЕНТА, СПОСОБСТВУЮЩЕГО ОСУЩЕСТВЛЕНИЮ НСД К ВЕБ-РЕСУРСАМ
Автор А.М. Максимов, Е.Н. Тищенко, О.В. Серпенинов
Рубрика РАЗДЕЛ I. УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Месяц, год 08, 2014
Индекс УДК 004.057.4
DOI
Аннотация Рассмотрен один из аспектов функционирования современных компьютерных сетей – заголовки протоколов. Проведен краткий анализ документов, в которых представлены стандарты, регулирующие функционирование рассматриваемого протокола HTTP в сети Интернет. В частности, сделан анализ нестандартного заголовка для протокола HTTP – X-Forwarded-For. Данный заголовок является стандартом де-факто, что отражено и в документах, описывающих и регламентирующих его использование. Произведён краткий обзор распространённости платформ, которые поддерживают использование означенного заголовка. В результате анализа с точки зрения безопасности установлено наличие риска использования заголовка X-Forwarded-For. Риск представляет собой возможность осуществления несанкционированного доступа (НСД) с повышенными привилегиями к запрашиваемому ресурсу. Помимо этого рассмотрена ситуация, когда данная возможность осуществления НСД с использованием указанного заголовка может быть реализована (в том числе ситуации, когда происходит взаимодействие компонентов различных уровней (веб-сервер и веб-приложение). Ситуация включает в себя рассмотрение случаев с использованием стандартных средств (таких, как прокси, балансиры нагрузки) при доступе к сети Интернет. По результатам исследования сформулированы некоторые положения, позволяющие уменьшить вероятность реализации обнаруженной угрозы.

Скачать в PDF

Ключевые слова Ввеб-сервер; X-Forwarded-For; HTTP-заголовок; REMOTE_ADDR.
Библиографический список 1. Стандарт «Forwarded HTTP Extension». [Электронный ресурс]: The Internet Engineering Task Force (IETF). URL: http://tools.ietf.org/html/rfc7239.
2. Документация прокси-сервера Squidю [Электронный ресурс]: Configuring Squid. URL: http://wiki.squid-cache.org/squidFaq/ConfiguringSquid.
3. Документация прокси-сервера Apache Module mod_proxyю [Электронный ресурс]: Apache Module mod_proxy. URL: http://httpd.apache.org/docs/trunk/mod/mod_proxy.html.
4. Документация администратора балансира нагрузки Barracudaю [Электронный ресурс]: Barracuda Load Balancer – Administrator Guide – Release 4.2. URL: https://techlib.barracuda.com/LOAD.
5. Конфигурация Cisco ACE с NAT и вставка заголовка клиентского IPю [Электронный ресурс]: Configure ACE with Source NAT and Client IP Header Insert. URL: http://www.cisco.com/c/en/us/support/docs/interfaces-modules/ace-application-control-engine-module/107399-ace-sourcenat-config.html.
6. Исследование веб-серверов «June 2014 Web Server Survey»ю [Электронный ресурс]: The Internet Engineering Task Force (IETF). URL: http://news.netcraft.com/archives/2014/06/06/june-2014-web-server-survey.html.
7. Стандарт «Issues with IP Address Sharing»ю [Электронный ресурс]: The Internet Engineering Task Force (IETF). URL: http://tools.ietf.org/html/rfc6269.
8. Стандарт «Unique Local IPv6 Unicast Addresses». [Электронный ресурс]: The Internet Engineering Task Force (IETF). URL: http://tools.ietf.org/html/rfc4193.
9. Стандарт «Deprecating Site Local Addresses»ю [Электронный ресурс]: The Internet Engineering Task Force (IETF). URL: http://tools.ietf.org/html/rfc3879.
10. Максимов А.М. Анализ особенностей осуществления атак на веб-сервер посредством генерации ошибочных запросов // Известия ЮФУ. Технические науки. – 2013. – № 12 (149). – C. 143-148.
11. Максимов А.М., Тищенко Е.Н. Особенности использования носителей информации в защищённых информационных системах // Известия ЮФУ. Технические науки. – 2011. – № 12 (125). – C. 238-244.

Comments are closed.