本製品は、プロキシやファイアウォールなどのHTTP仲介エージェントとして機能します。
(プロキシやファイアウォールなど)として機能します。
本製品は、クライアントとサーバーのような2つのエンティティ間のデータフローにおいて、HTTPエージェント(プロキシやファイアウォールのような)の役割を果たします。
不正な HTTP リクエストやレスポンスを解釈することはありません。
によって処理される方法と一致するようには解釈しません。
しかし、最終的な宛先にいるエンティティがどのようにメッセージを処理するかということと矛盾しないように、不正な HTTP リクエストやレスポンスを解釈することはありません。
HTTPリクエストやレスポンス(「メッセージ」)は
は、ウェブサーバーやクライアントがメッセージを
とは異なる方法でメッセージを解釈する。
ロードバランサー、リバースプロキシ、ウェブキャッシングプロキシ、アプリケーションファイアウォール
プロキシ、ウェブキャッシングプロキシ、アプリケーションファイアウォールなどです、
などです。例えば、敵対者はクライアントやクライアントのヘッダーフィールドに重複した
を追加することができるかもしれません。
クライアントやサーバーが1セットのメッセージと解釈するような、重複し た、あるいは異なるヘッダーフィールドを追加することができる。
は同じバイト列を別のメッセージとして解釈するかもしれない。
一方、仲介者は同じバイト列を異なるメッセージセットとして解釈するかもしれない。例えば、以下のような不一致が生じる可能性がある。
つのTransfer-encoding(TE)や2つのContent-length(TE)のような
(TE)や2つの Content-length (CL) のような重複したヘッダをどう扱うか、あるいは悪意のある HTTP
メッセージはTEとCLで異なるヘッダを持つことになります。
CLに異なるヘッダを持ちます。
メッセージの一貫性のない解析と解釈は
メッセージの解析と解釈に一貫性がないことで、敵は仲介者に気づかれることなくメッセージを
クライアント/サーバーに "密輸 "することができる。
この弱点は通常
HTTPエージェントのHTTPプロトコルのバージョンが古かったり、互換性がなかったりした結果です。
HTTP エージェントが
The product acts as an intermediary HTTP agent
(such as a proxy or firewall) in the data flow between two
entities such as a client and server, but it does not
interpret malformed HTTP requests or responses in ways that
are consistent with how the messages will be processed by
those entities that are at the ultimate destination.
HTTP requests or responses ("messages") can be
malformed or unexpected in ways that cause web servers or
clients to interpret the messages in different ways than
intermediary HTTP agents such as load balancers, reverse
proxies, web caching proxies, application firewalls,
etc. For example, an adversary may be able to add duplicate
or different header fields that a client or server might
interpret as one set of messages, whereas the intermediary
might interpret the same sequence of bytes as a different
set of messages. For example, discrepancies can arise in
how to handle duplicate headers like two Transfer-encoding
(TE) or two Content-length (CL), or the malicious HTTP
message will have different headers for TE and
CL.
The inconsistent parsing and interpretation of messages
can allow the adversary to "smuggle" a message to the
client/server without the intermediary being aware of it.
This weakness is usually the result of the usage
of outdated or incompatible HTTP protocol versions in the
HTTP agents.