1. Latar Belakang: Teknik HTTP Request Smuggling
HTTP Request Smuggling—atau serangan desynchronization (desync)—menggunakan perbedaan cara pemrosesan antara proksi front-end (seperti CDN, load balancer, atau WAF) dan backend server. Ketika mereka menafsirkan Content-Length dan Transfer-Encoding: chunked secara tidak konsisten, penyerang bisa memasukkan permintaan tersembunyi yang lolos dari pemeriksaan keamanan—sering kali untuk curi sesi pengguna, cache poisoning, atau bypass WAF.
HTTP/1.1 mendukung chunked transfer, di mana badan permintaan dibagi dalam potongan (“chunks”) yang diawali ukuran dalam heksadesimal. RFC 9112 memperbolehkan penambahan ekstensi pada baris ukuran chunk, misalnya “;token=nilai”. Namun jika muncul tanda titik koma tanpa nama ekstensi, itu melanggar sintaks yang seharusnya diterima secara ketat.
2. Trik Baru: Chunked Extension Malformed sebagai Vektor Desync
Peneliti Imperva menemukan teknik baru yang memanfaatkan ketidakcermatan dalam parsing ekstensi chunk antara front-end dan backend:
- Penyerang mengirim baris ukuran chunk yang berakhir dengan
;tanpa nama ekstensi—contohnya:0; GET /admin HTTP/1.1 ... - Proksi front-end yang longgar mengabaikan
;dan meneruskan keseluruhan payload sebagai satu permintaan. - Sementara backend yang lebih ketat melihat
;sebagai akhir baris, lalu memproses sisa payload sebagai permintaan HTTP terpisah. - Dengan demikian, konten jahat seperti
GET /admindiselundupkan ke backend tanpa diperiksa oleh firewall.
Dengan trik ini, backend menjalankan permintaan tersembunyi tanpa front-end menyadarinya—efektif melewati pemeriksaan keamanan.
3. Penyebab: Parsing lenient atas Fitur Jarang Digunakan
HTTP/1.1 berisiko tinggi terhadap serangan karena protokol berbasis teksnya yang rentan terhadap ambiguitas. Banyak implementasi server dibuat untuk menoleransi kesalahan klien demi kompatibilitas. Ekstensi chunk, yang jarang digunakan, sering diabaikan atau ditangani dengan parsing longgar—menumbuhkan celah desync.
4. Mitigasi dan Tindakan Imperva
Seusai pelaporan resmi, Imperva telah memperbarui dan menerapkan patch di sistem mereka, memastikan pelanggan yang menjalankan versi terbaru aman dari serangan ini melalui Cloud WAF maupun WAF On-Prem.
Sebagai solusi jangka panjang, mereka juga merekomendasikan migrasi ke HTTP/2, karena protokol ini menggunakan framing biner tanpa ambiguitas batas permintaan—sehingga secara efektif menyelesaikan celah parsing HTTP/1.1 yang rentan terhadap smuggling.
Kesimpulan
Varian desync melalui ekstensi chunked ini menunjukkan betapa berbahayanya hanya sedikit perbedaan parsing antara layer front-end dan backend. Imperva telah menutup celah ini di layanan mereka, sambil mendorong implementasi HTTP/2 sebagai mitigasi mendasar. Artikel ini menjadi pengingat penting: selalu ikuti protokol secara ketat dan hindari penerimaan header yang tidak standar.
Tabel Pendukung: Teknik Smuggling & Mitigasinya
| Aspek | Penjelasan |
|---|---|
| Metode Smuggling Baru | Ekstensi chunk yang malformed—tanda ; tanpa nama ekstensi—menyebabkan perbedaan parsing antara front-end dan backend. |
| Langkah Penyerang | 1) Kirim 0; sebagai header chunk.2) Front-end anggap itu satu request.3) Backend anggap GET ... sebagai request baru. |
| Akibat Keamanan | Permintaan berbahaya (GET /admin) bisa dieksekusi tanpa filter WAF front-end, membuka risiko session hijacking, akses ilegal, bypass keamanan. |
| Penyebab Teknis | Parsing HTTP/1.1 yang toleran terhadap kekeliruan dan perbedaan implementasi antara server menyebabkan celah. |
| Mitigasi Imperva | Security patch di Cloud & On-Prem WAF; pelanggan dengan versi terbaru terlindungi penuh. |
| Rekomendasi Lanjutan | Migrasi ke HTTP/2: protokol biner tanpa ambiguitas parsing, melindungi dari semua jenis request smuggling. |
| Pesan Penting | Keamanan layer harus konsisten: front-end dan backend harus sepaham dalam parsing HTTP; protokol lama rentan terhadap eksploitasi seperti ini. |
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan Imperva indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!
