📶 Прямой и обратный прокси: специфические особенности и проблемы безопасности.

17 апреля 2025 г.Social Engineering
📶 Прямой и обратный прокси: специфические особенности и проблемы безопасности. | 🔁 Новости из телеграм - Ghostbase News

📶 Прямой и обратный прокси: специфические особенности и проблемы безопасности.

  • Как думаете, в чем заключается разница между прямым прокси и обратным? Представьте, что вы планируете проверить своё здоровье в многопрофильном медицинском центре, который регулярно посещаете. Но по какой‑то причине вы не желаете напрямую взаимодействовать с персоналом медучреждения. У вас есть личный помощник, который от вашего имени решает подобного рода задачи. По этой же причине медицинский персонал никогда не взаимодействует с вами напрямую, только с вашим помощником. В этом сценарии вас можно ассоциировать с ноутбуком, через который ищет информацию в интернете, а ваш личный помощник — это прокси‑сервер, который действует как посредник между вашей частной сетью, к которой подключён ноутбук, и общедоступным интернетом, куда отправляются ваши запросы. Прокси‑сервер защищает ноутбук, фильтруя трафик и блокируя вредоносные веб‑сайты и скрипты, прежде чем ответ будет перенаправлен обратно. Это аналогия с прямым прокси.

  • Теперь давайте проведем аналогию с обратным прокси. Представим, что Ваш личный помощник записал вас на проверку здоровья и вы приходите в клинику в назначенное время. Теперь вместо того, чтобы самостоятельно в огромном здании искать нужный кабинет, вы подходите к стойке регистрации. Администратор вас регистрирует, затем приглашает следовать за ним и приводит в нужный кабинет. В этой ситуации администратор — это тоже прокси, но на этот раз на принимающей запрос стороне. Сидит он в клинике в окружении всевозможных кабинетов (в нашем случае серверов) и управляет пациентами (входящими запросами), распределяя их по нужным врачам, этажам и кабинетам, проверяя загруженность и имея обзор всего внутреннего потока.

  • Ну а теперь, когда мы выяснили разницу между прямым и обратным прокси, предлагаю ознакомиться с очень полезным репозиторием, который можно использовать в качестве шпаргалки для специалистов в области #ИБ. Суть - изучить скрытые проблемы безопасности данных технологий и понять их специфические особенности для поиска и эксплуатации слабых мест.

Nginx;

Apache;

Haproxy/Nuster;

Varnish;

Traefik;

Envoy;

Caddy;

AWS;

Cloudflare;

Stackpath;

Fastly.

  • Дополнительно (книги, статьи, презентации, тестовые лаборатории):

➡️ https://github.com/M4dSec/weird_proxies

S.E. ▪️ infosec.work ▪️ VT

Ссылка на постВ канал