Arsip

Pengelolaan header hop-by-hop yang tidak tepat oleh proxy dapat menyebabkan masalah keamanan. Meskipun proxy seharusnya menghapus header ini, tidak semua melakukannya, sehingga menciptakan potensi kerentanan.

Dalam **web cache poisoning**, penyerang menyebabkan aplikasi menyimpan konten berbahaya dalam cache, dan konten ini disajikan dari cache kepada pengguna aplikasi lainnya. Dalam **web cache deception**, penyerang menyebabkan aplikasi menyimpan konten sensitif milik pengguna lain dalam cache, dan penyerang kemudian mengambil konten ini dari cache.

Dos menggunakan cache poisoning

The goal of this attack is to make the cache server think that a static resource is being loaded so it caches it while the cache server stores as cache key part of the path but the web server responds resolving another path. The web server will resolve the real path which will be loading a dynamic page (which might store sensitive information about the user, a malicious payload like XSS or redirecting to lo load a JS file from the attackers website for example).

HTTP Request Smuggling adalah kerentanan yang terjadi karena ketidaksinkronan antara proxy front-end dan server back-end dalam menginterpretasikan header permintaan HTTP. Ini memungkinkan penyerang untuk memodifikasi permintaan berikutnya yang tiba di server back-end, yang dapat menyebabkan berbagai serangan seperti bypass keamanan, pencurian data, dan eksekusi kode berbahaya.

Artikel ini membahas teknik HTTP Response Smuggling atau Desynchronisation (Desync), yang merupakan varian dari HTTP Request Smuggling. Teknik ini memungkinkan penyerang untuk membocorkan atau memodifikasi respons yang diterima oleh korban dengan menyelaraskan antrean respons proxy. Dengan memahami cara kerja teknik ini, Anda dapat lebih waspada terhadap potensi serangan dan melindungi aplikasi web Anda dari eksploitasi yang mungkin terjadi.

Artikel ini membahas secara mendalam tentang Upgrade Header Smuggling, dengan fokus pada protokol H2C (HTTP/2 over cleartext) dan kerentanannya. Artikel ini mengeksplorasi bagaimana reverse proxy menangani header upgrade HTTP dan potensi risiko keamanan yang muncul dari penanganan yang tidak tepat. Diskusi mencakup skenario detail tentang H2C dan WebSocket smuggling, menyoroti teknik eksploitasi dan proxy yang terpengaruh. Alat dan referensi disediakan untuk eksplorasi lebih lanjut dan pengujian kerentanan ini.

Induksi cacat merupakan kesalahan dalam penalaran yang terjadi ketika kita salah dalam membuat asumsi atau menarik kesimpulan tanpa bukti yang cukup.

Kekeliruan relevansi melibatkan argumen yang tidak ada hubungannya secara logis dengan masalah yang dibahas. Sering kali didasarkan pada faktor-faktor seperti emosi, opini populer, atau pengaruh.

Privilege escalation dalam Linux adalah teknik untuk meningkatkan hak akses di sistem, yang berguna dalam kegiatan penetration testing untuk mendapatkan kontrol lebih besar terhadap sistem yang ditargetkan.