¿Cómo funciona en la práctica el Dominio de Fronting?

0

Mientras leía sobre Dominio Frentamiento (y la decisión de Google y Amazon de prohibirlo), me topé con este blog donde el autor ha identificado los dominios que permiten la inclusión.

Desde el blog, haciendo algo como

curl -s -H "Host: images-na.ssl-images-amazon.com" -H "Connection: close" "https://cdn.atlassian.com/images/I/01rgQ3jqo7L.css"

nos permitirá acceder a dicho archivo CSS desde el dominio images-na.ssl-images-amazon.com a pesar de que todos los sistemas de vigilancia mostrarán que nos conectamos al sistema cdn.atlassian.com . Intenté cambiar el Host a otra cosa (por ejemplo, wikipedia) y Cloudfront dio un error de "Solicitud incorrecta" por lo que presumiblemente ambos subdominios tienen que estar en el mismo dominio. (cdn.atlassian.com está alojado en cloudfront desde sus registros dig ).

Mis preguntas son:

  1. Si Amazon ya lo ha prohibido, ¿por qué es posible realizar correctamente la solicitud anterior?
  2. A nivel práctico, ¿cómo puede un usuario malintencionado aprovechar el hospedaje de un servicio de C & C de malware?
  3. ¿Existen prácticas recomendadas con las que un cliente individual se asegure de que su subdominio (por ejemplo, xyzabc.cloudfront.com) no sea susceptible de enfrentar?

EDIT

Pregunta adicional:

  1. ¿El dominio al frente es algo de lo que solo los CDN deben preocuparse o un servidor web independiente mal configurado también puede ser (ab) usado como frente?
pregunta RedBaron 04.05.2018 - 12:05
fuente

1 respuesta

1
  

Si Amazon ya ha prohibido el inicio de sesión, ¿por qué es posible realizar correctamente la solicitud anterior?

Amazon no ha prohibido el dominio al frente todavía.

  

A nivel práctico, ¿cómo puede un usuario malintencionado aprovechar el hospedaje de un servicio de C & C de malware?

Sin dominio al frente, los proxies pueden ver el host de destino a través de SNI y pueden elegir bloquear la solicitud para proteger al usuario.

El dominio de frente funciona ya que está falsificando el host en SNI. Si el host falso es lo suficientemente importante, como google.com , el tráfico no se bloqueará.

  

¿Puede un cliente individual garantizar que su subdominio (por ejemplo, xyzabc.cloudfront.com) no sea susceptible de ser aceptado?

Cree otro subdominio en el mismo host y use cURL para verificar:

curl -s -H "Host: subdomain2.host.com" -H "Connection: close" "https://subdomain1.host.com/"
    
respondido por el Benoit Esnard 04.05.2018 - 12:15
fuente

Lea otras preguntas en las etiquetas