Abo
  • Services:

Websicherheit: Server mit HTTP-Headern verwirren

Durch geschickt gewählte HTTP-Header ist es Sicherheitsforschern gelungen, zahlreiche Lücken bei Yahoo, beim Department of Defense und bei der British Telecom zu identifizieren.

Artikel veröffentlicht am , Hanno Böck
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen.
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen. (Bild: Rock1997, Wikimedia Commons/CC-BY-SA 4.0)

Zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen hat James Kettle von der Firma Portswigger auf der Black-Hat-Konferenz in Las Vegas gezeigt. Kettle setzte dabei vor allem darauf, mit geschickt gewählten HTTP-Headern Loadbalancer und Webserver zu verwirren.

Stellenmarkt
  1. Enercon GmbH, Aurich
  2. Bosch Gruppe, Abstatt

Zunächst zeigte Kettle einige Angriffe, die darauf basieren, einen HTTP-Request an einen Server mit einem ungültigen Host-Header zu verschicken. Viele Systeme leiten entsprechende Anfragen einfach weiter, egal wohin sie gehen. Bei Yahoo gelang es so, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde hierfür eine interne IP eingefügt.

Dieses System sprach offenbar kein HTTP, sondern ein einfaches, zeilenbasiertes Protokoll. Die Antwort dieses Systems wurde dabei auch zurückgeschickt. Ein HTTP-Request mit der normalerweise nicht existenten Help-Methode führte dazu, dass dieses System eine Hilfe ausgab. Bei dem System handelte es sich um einen Apache Traffic Server, eine Software zum Cachen von HTTP-Verbindungen. Kettle hätte mit dem Angriff Daten direkt in den internen HTTP-Cache von Yahoo schreiben können.

Ein anderes Yahoo-System antwortete ebenfalls auf fehlerhafte Host-Header, schrieb diese aber um. Ein Zugriff mit dem Host example.com wurde zu outage.example.com umgeschrieben. Durch Hostnamen, deren Subdomain outage zu internen Ips aufgelöst wurde, konnte Kettle hier ebenfalls auf interne Yahoo-Systeme zugreifen.

Britisches Zensursystem antwortet auf fehlerhafte Host-Header

Indem Kettle in den Host-Header ein von ihm selbst kontrolliertes System einfügte, konnte er herausfinden, welche Services eine solche Anfrage dorthin weiterleiten. Dabei fiel ihm etwas Ungewöhnliches auf: Zugriffe auf die Domain cloud.mail.ru, einen russischen Service, wurden von IPs der British Telecom beantwortet. Allerdings nur HTTP-Verbindungen, HTTPS-Verbindungen zeigten dieses Verhalten nicht. Das erschien mehr als ungewöhnlich.

Die Auflösung dieses Rätsels: Die Antwort erhielt Kettle vom Zensursystem der British Telecom. Dieses wurde ursprünglich im Rahmen des Projekts Cleanfeed eingerichtet, das zur Blockade von Bildern von Kindesmissbrauch eingeführt wurde. Doch inzwischen wird dasselbe System auch zum Blockieren von Urheberrechtsverletzungen genutzt.

Am Filter des DoD vorbei

Bei HTTP-Requests kann der Host auch bereits in der GET-Zeile angegeben werde, indem dort eine komplette URL übergeben wird. Ein System des US-amerikanischen Department of Defense ließ sich damit überlisten. Es filterte Anfragen auf diverse interne Domains, auf die von außen kein Zugriff möglich sein sollte. Doch als im Host-Header eine öffentlich zugängliche Domain angegeben und die interne Seite via GET abgefragt wurde, konnte der Filter ausgetrickst werden.

Auch URLs in anderen HTTP-Headern führten häufig dazu, dass die entsprechenden Server einen Zugriff auf diese Seiten durchführten. So gibt es laut Kettle eine Reihe von Servern, die auf den Referrer zugreifen.

Facebook ruft Stunden später URL aus uraltem WAP-Header ab

Doch auch obskurere Header testete Kettle aus: Ein Header namens X-Wap-Profile ermöglicht es, eine XML-Definition für die Darstellung von Webseiten auf alten Smartphones zu übergeben. WAP war ein Standard für sehr simple Webseiten für Feature-Phones und wird heute kaum noch genutzt. Facebook rief als einziger getesteter Service diese URL ab, allerdings erst viele Stunden später.

Konkrete Sicherheitslücken hat Kettle für diese weiteren Header nicht gefunden, er merkte aber an, dass XML-Parser und Headless-Browser wie PhantomJS, die für solche Zugriffe häufig genutzt werden, oft Sicherheitslücken haben.



Anzeige
Hardware-Angebote
  1. 119,90€
  2. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)

Folgen Sie uns
       


Nvidia Geforce RTX 2080 und 2080 Ti - Test

Nvidia hat mit der RTX 2080 und 2080 Ti die derzeit leistungsstärksten Grafikkarten am Markt. Wir haben sie getestet.

Nvidia Geforce RTX 2080 und 2080 Ti - Test Video aufrufen
Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Retrogaming: Maximal unnötige Minis
Retrogaming
Maximal unnötige Minis

Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
Ein IMHO von Peter Steinlechner

  1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  2. Sicherheit Ein Lob für Twitter und Github
  3. Linux Mit Ignoranz gegen die GPL

Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

    •  /