Come funziona Domain Fronting in pratica

0

Durante la lettura del Domain Fronting (e la decisione di Google e Amazon di vietarlo), mi sono imbattuto in questo blog in cui l'autore ha identificato i domini che consentono il fronting.

Dal blog, facendo qualcosa di simile

curl -s -H "Host: images-na.ssl-images-amazon.com" -H "Connection: close" "https://cdn.atlassian.com/images/I/01rgQ3jqo7L.css"

ci consentirà di accedere al suddetto file CSS dal dominio images-na.ssl-images-amazon.com anche se tutti i sistemi di sorveglianza mostreranno che siamo collegati a cdn.atlassian.com system. Ho provato a cambiare l'host con qualcos'altro (ad esempio wikipedia) e Cloudfront ha emesso un errore "Bad Request", quindi presumibilmente entrambi i sottodomini devono trovarsi nello stesso dominio. (cdn.atlassian.com è ospitato su cloudfront dai loro dig records).

Le mie domande sono:

  1. Se Amazon ha già vietato il fronting perché è possibile effettuare correttamente la richiesta sopra?
  2. A livello pratico, come può un utente malintenzionato sfruttare il fronting per ospitare un servizio C & C di malware?
  3. Esistono best practice che utilizzano il singolo cliente per garantire che il suo sottodominio (ad esempio xyzabc.cloudfront.com) non sia suscettibile di fronting?

Modifica

Domanda aggiuntiva:

  1. Il dominio del dominio è qualcosa di cui solo i CDN devono preoccuparsi o un web server standalone mal configurato può anche essere usato (ab) come front?
posta RedBaron 04.05.2018 - 12:05
fonte

1 risposta

1

If Amazon has already banned fronting why is it possible to successfully make the above request?

Amazon non ha ancora escluso la domini del dominio.

At a practical level, how can a malicious user leverage fronting for hosting a malware C&C service?

Senza domain-fronting, i proxy possono vedere l'host di destinazione tramite SNI e possono scegliere di bloccare la richiesta per proteggere l'utente.

Il fronting dei domini funziona poiché sta simulando l'host in SNI. Se l'host falso è abbastanza importante, come google.com , il traffico non verrà bloccato.

Can an individual customer ensure his subdomain (say xyzabc.cloudfront.com) is not susceptible to fronting?

Crea un altro sottodominio sullo stesso host e usa cURL per verificare:

curl -s -H "Host: subdomain2.host.com" -H "Connection: close" "https://subdomain1.host.com/"
    
risposta data 04.05.2018 - 12:15
fonte

Leggi altre domande sui tag