Een reverse web proxy kan ervoor zorgen dat een website sneller laadt, maar vergroot ook het aanvalsoppervlak van de pagina. Dit kan site-eigenaren en bezoekers in gevaar brengen.
Wanneer u een webpagina bezoekt, vinden er verschillende bewerkingen op de achtergrond plaats. Ook als u nergens op klikt, verwerkt de site informatie zoals de pagina waarop u zich bevindt, uw IP-adres en het apparaat dat u gebruikt. Bepaalde regels zijn van toepassing op transacties die plaatsvinden in deze middleware. Aanvallers die hiervan op de hoogte zijn en weten hoe deze beperkingen worden geïmplementeerd, kunnen dit misbruiken om uw informatie te stelen. Om het probleem beter te begrijpen, kunt u het idee van de omgekeerde webproxy overwegen.
Wat is een omgekeerde webproxy?
Omgekeerde webproxy verwerkt en optimaliseert uw transacties door toegang te krijgen tot internetsites voordat ze naar de backend-webserver worden verzonden. De verwerkte en geoptimaliseerde gegevens worden door de reverse web proxy naar de relevante webservers gestuurd. Dit proces biedt zowel een beveiligingsmaatregel als een verbetering van de prestaties.
Het is mogelijk om van veel verschillende systemen te profiteren om de reverse web proxy-mogelijkheid te gebruiken. Jij kan gebruik een Web Application Firewall (WAF), load balancer, apparaten die u kunt positioneren tegen DDoS-aanvallen, of platforms en systemen zoals Cloudflare voor reverse web proxy.
Wat deze systemen gemeen hebben, is dat ze een formatie verzorgen tussen de server en de client. Wanneer u een website opvraagt, gaat dit verzoek niet rechtstreeks naar de server. De reverse web proxy tussen de server en de website onderzoekt en optimaliseert deze verzoeken. Een systeem dat bijvoorbeeld vermoedt dat een non-stop HTTP-verzoek een DDoS-aanval kan zijn, filtert deze verzoeken en zet, indien nodig, het apparaat waarvan de verzoeken afkomstig zijn op de zwarte lijst, zodat het de plaats. Kortom, het doel is om controle te bieden tussen het verzoek en de server.
Impact van Reverse Web Proxy op prestaties
Laten we eens kijken hoe een reverse web proxy de prestaties verbetert aan de hand van een voorbeeld, zoals de website van een coffeeshop. Stel je een tekst voor die koffie beschrijft op deze website en wat afbeeldingen van koffie op de menukaarten. Aangezien deze afbeeldingen en teksten niet continu veranderen, is het mogelijk om enkele prestatieverbeteringen door te voeren. Als u de URL-adressen van deze statische afbeeldingen opslaat op de omgekeerde webproxy, bent u aan het cachen op de reverse webproxy.
Met andere woorden, de eerste keer dat u de site bezoekt, zal de reverse web proxy alle afbeeldingen in uw cache opslaan en een snellere service bieden bij uw tweede aanmelding. Hierdoor wordt de belasting van de website aanzienlijk verminderd, waardoor de website sneller laadt.
Voordelen van omgekeerde webproxy
Om samen te vatten waarom u misschien een reverse web proxy wilt overwegen, weet dat u:
- Verhoog de internettoegangssnelheid en verhoog de snelheid van gegevensoverdracht, waardoor webpagina's sneller worden geladen.
- Verberg uw persoonlijke gegevens. Een reverse web proxy versleutelt alle gegevens die u verzendt en ontvangt van uw computer en verbergt uw persoonlijke gebruikspatronen.
- Gebruik verschillende firewalltechnologieën om uw persoonlijke gegevens te beschermen.
- Los de bans op die je tegenkomt bij het bezoeken van websites en voorkom blokkering.
Hoe ontstaat het beveiligingslek met betrekking tot proxy-cache-misleiding?
Alle gegevens die door de reverse web proxy in uw cache zijn opgeslagen, worden opgeslagen met hun bestandsextensies. Afbeeldingen hebben bijvoorbeeld extensies zoals ".jpg" en ".png", terwijl teksten ".txt" zijn. Dit betekent dat een aanvaller die deze cache kaapt, kan achterhalen wat u op de site hebt gezien of gedaan door de bestanden te bekijken die u hebt geopend.
Denk bijvoorbeeld aan een site met het adres voorbeeld.com/login.php. Stel dat u toegang krijgt tot dit adres door uw gebruikersnaam en wachtwoord in te voeren en dat de pagina die u bezoekt behoort tot een dynamisch draaiend PHP-bestand. Als u het zich herinnert, waren de bestanden in de cache slechts statische bestanden. Dus de reverse web proxy zal zo'n PHP-bestand niet cachen.
Maar soms liggen de dingen niet zo eenvoudig. In sommige gevallen, wanneer u een adres aanvraagt dat niet bestaat, krijgt u een Fout 404 pagina niet gevonden. Maar naast deze fout geeft de webserver u nog andere kritieke informatie. Wanneer u een ongeldige URL aanvraagt die niet bestaat, bevindt het geldige deel van de URL die u heeft aangevraagd zich mogelijk op de server. In dit geval kunt u, zelfs als u een ongeldig adres aanvraagt, het geldige deel van dit ongeldige adres als antwoord ontvangen. In dergelijke gevallen vermoeden aanvallers dat hier mogelijk een beveiligingsprobleem is en bereiden ze zich voor om aan te vallen.
Laten we nu eens kijken naar een ander URL-adres, zoals voorbeeld.com/login.php/muo.jpg. Stel dat de server je nog steeds laat zien voorbeeld.com/login.php omdat er geen dergelijk bestand op de server staat.
Als je het hebt opgemerkt, behoorde het adres dat je opvroeg tot een JPG-bestand, wat betekent dat dit een volledig statisch bestand is. Houd er rekening mee dat webontwikkelaars statische bestanden kunnen opslaan op een reverse webproxy, aangezien inhoud met dergelijke statische bestandsextensies niet dynamisch opnieuw op de website hoeft te worden geladen. Het belangrijkste doel van webontwikkelaars is om een efficiëntere en krachtigere website te krijgen. In dit geval, zelfs als er geen dergelijk adres is, zal de proxy u in de cache plaatsen. Wie dit adres invoert, ziet nu de pagina waarop u bent ingelogd met uw gebruikersnaam en wachtwoord.
Een aanvaller die zo'n kwetsbaarheid wil misbruiken, zal proberen u op deze link te laten klikken door deze link in te korten of u op een andere manier te misleiden. Wanneer je op deze neplink klikt, realiseer je je dat er niets gebeurt, maar nu heb je een cache gemaakt op de reverse webproxy. Het enige dat de aanvaller zal doen, is uw informatie misbruiken.
Voorzorgsmanieren
De beste manier om een reverse web proxy-kwetsbaarheid te voorkomen, is vooraf te bepalen hoe de server niet-bestaande bestanden zal behandelen. Een bestand dat niet bestaat, mag geen cache maken. Bovendien, als u een webontwikkelaar bent, weet u nu dat u bepaalde inhoud en documenten op een reverse webproxy kunt opslaan. Het is van groot belang dat u de gegevens die u opslaat in de reverse web proxy periodiek controleert en dat u deze controles zorgvuldig uitvoert. Het beheersen van de werklogica van een webproxy zal een zeer belangrijk beveiligingsbewustzijn creëren voor zowel u als de gebruikers die uw website zullen gebruiken.
Onthoud dat aanvallers u altijd een stap voor zullen zijn. Daarom is het nuttig voor u om alle voorzorgsmaatregelen te nemen en een beter begrip te hebben van de technologieën die u gebruikt. Hiervoor kunt u in een paar stappen uw webproxy maken en uzelf testen.