• IT-Karriere:
  • Services:

CPDoS-Angriff: Cache-Angriffe können Webseiten lahmlegen

Manche HTTP-Caches können dazu gebracht werden, Serverfehlermeldungen zu speichern, die sich durch bestimmte Anfragen auslösen lassen. Das funktioniert beispielsweise mit besonders langen Headern.

Artikel von veröffentlicht am
Der CPDoS-Angriff zielt auf das Zusammenspiel von Web-Caches und Web-Servern.
Der CPDoS-Angriff zielt auf das Zusammenspiel von Web-Caches und Web-Servern. (Bild: CPDoS-Webseite)

Zwei Forscher der Technischen Hochschule Köln haben einen Angriff auf bestimmte Konfigurationen von HTTP-Caches vorgestellt. Damit lassen sich Webseiten temporär lahmlegen, notwendig ist dafür nur eine einzelne HTTP-Anfrage eines Angreifers. Das Problem: Manche Caches speichern Fehlermeldungen, die eigentlich nicht im Cache vorgehalten werden dürfen. Den Angriff tauften seine Entdecker Cache Poison Denial of Service (CPDoS).

Stellenmarkt
  1. Schaeffler Technologies AG & Co. KG, Nürnberg
  2. medneo GmbH, Berlin

Ein gängiges Setup von vielen Webseiten ist es, vor dem eigentlichen Webserver einen Cache zu haben. Das kann entweder ein System eines Dienstleisters sein, etwa ein Content-Delivery-Netzwerk, das weltweit verteilt Server betreibt und somit häufig in der Lage ist schneller zu antworten, oder auch spezielle Caching-Software als Teil der eigenen Infrastruktur. In diesen Setups speichert der Cache Antworten des eigentlichen Servers eine Zeit lang, damit weitere Anfragen nach derselben Webseite schneller beantwortet werden können.

Cache speichert Fehlermeldung und liefert diese bei folgenden Nutzeranfragen aus

Problematisch wird das Ganze, wenn der Cache auch Fehlermeldungen des Webservers speichert. Beispielsweise könnte ein Angreifer an den Cache eine Anfrage schicken, die einen riesigen Header enthält. Viele Webserver haben eine Größenbegrenzung für HTTP-Anfragen, so blockiert etwa der Apache-Webserver Anfragen, deren Header insgesamt größer als acht Kilobyte sind. Manche Caches lassen solche Anfragen aber durch, so erlaubt Amazons Cloudfront-Service etwa Anfragen bis zu 20 Kilobyte.

Ein Angreifer kann jetzt für eine bestimmte URL eine Anfrage schicken und hierbei einen unsinnigen, zehn Kilobyte großen Header mitschicken. Wenn der Cache diesen durchlässt, der Webserver aber mit einer Fehlermeldung antwortet, wird dieser Fehler im Cache gespeichert. In vielen Fällen ist das ein Fehler mit dem HTTP-Code 400 (Bad Request). Alle nachfolgenden Anfragen auf dieselbe URL führen dann dazu, dass diese mit einer Fehlermeldung beantwortet werden - so lange, wie der Cache diese speichert.

Neben der Variante mit besonders großen Headern stellen die Autoren zwei weitere Varianten vor: Angriffe mit bestimmten Sonderzeichen im Header und besondere Header, die dafür gedacht sind, ungewöhnliche HTTP-Methoden an Server zu schicken, bei denen diese vom Cache blockiert werden.

Ob der Angriff funktioniert, hängt vom genauen Verhalten sowohl des Webservers als auch des verwendeten Caches ab. Aus einer Tabelle der Autoren geht hervor, dass besonders Amazons Cloudfront-Service hier verwundbar war. Damit funktionierten Varianten des Angriffs mit fast allen Webservern. Cloudfront hat inzwischen reagiert und sein Caching-Verhalten verändert.

Cachen von HTTP-400-Fehlern unzulässig

Generell ist es laut HTTP-Standard nicht zulässig, dass Caches derartige Fehler speichern. Nur bestimmte Fehlermeldungen dürfen überhaupt von Caches gespeichert werden, der häufig bei solchen Anfragen auftretende Fehlertyp 400 gehört nicht dazu. Die Autoren weisen aber zudem darauf hin, dass viele Webserver falsche Fehlermeldungen erzeugen. Bei einem zu großen Request sollte etwa der Fehlercode 431 lauten, dieser steht dafür, dass der Request zu groß war.

Webserver können sich auch zusätzlich vor derartigen Problemen schützen, indem sie generell Fehlermeldungen mit einem Header ausstatten, der das Cachen unterbindet. Aber natürlich senkt das insbesondere auch bei Angriffen die Effektivität des Caches.

Das Zusammenspiel von HTTP-Caches und Webservern führt nicht zum ersten Mal zu Sicherheitsproblemen. Beispielsweise haben Forscher der Firma Portswigger vor einiger Zeit einen Angriff mit einer ähnlichen Idee namens HTTP Request Smuggling präsentiert.

Die Entdecker des CPDoS-Angriffs haben auf ihrer Webseite ein Hintergrundpaper veröffentlicht, das die Details erklärt. Das Paper wird offiziell auf der CCS-Konferenz im November in London veröffentlicht und es wird dort auch einen Vortrag dazu geben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Shitrix
    Das Citrix-Desaster
  2. Elektroautos in Tiefgaragen
    Was tun, wenn's brennt?
  3. Elektroauto
    Sono Motors erreicht Crowdfunding-Ziel von 50 Millionen Euro
  4. Beschlagnahmt
    Webseite bietet 12 Milliarden Zugangsdaten an
  5. IT-Gehälter
    Je nach Branche bis zu 1.000 Euro mehr
Anzeige
Spiele-Angebote
  1. 4,65€
  2. 3,58€
  3. 4,25€
Kommentarübersicht
Re: Vielen Dank für die Berichterstattung!
bofhl 23. Okt 2019

Warum sollte das AWS-Team auf die Forscher-Bitten reagieren oder gar von sich aus...

Folgen Sie uns
       
Nubia Z20 - Test

Das Nubia Z20 hat sowohl auf der Vorderseite als auch auf der Rückseite einen Bildschirm. Dadurch ergeben sich neue Möglichkeiten der Benutzung, wie sich Golem.de im Test angeschaut hat.

Nubia Z20 - Test Video aufrufen
CES 2020
Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe
Hacker
Mr. Robot rezensiert: Domo Arigato, Mr. Robot!
Mr. Robot rezensiert
Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

  1. Openideo-Wettbewerb Die fünf besten Hacker-Symbolbilder sind ausgewählt
  2. Cyberangriffe Attribution ist wie ein Indizienprozess
  3. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
PC-Hardware
Kaufberatung (2020): Die richtige CPU und Grafikkarte
Kaufberatung (2020)
Die richtige CPU und Grafikkarte

Grafikkarten und Prozessoren wurden 2019 deutlich besser, denn AMD ist komplett auf 7-nm-Technik umgestiegen. Intel hat zwar 10-nm-Chips marktreif, die Leistung stagniert aber und auch Nvidia verkauft nur 12-nm-Designs. Wir beraten bei Komponenten und geben einen Ausblick.
Von Marc Sauter

  1. SSDs Intel arbeitet an 144-Schicht-Speicher und 5-Bit-Zellen
  2. Schnittstelle PCIe Gen6 verdoppelt erneut Datenrate
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /