Abo
  • IT-Karriere:

Websicherheit: Server mit HTTP-Headern verwirren

Durch geschickt gewählte HTTP-Header ist es Sicherheitsforschern gelungen, zahlreiche Lücken bei Yahoo, beim Department of Defense und bei der British Telecom zu identifizieren.

Artikel veröffentlicht am , Hanno Böck
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen.
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen. (Bild: Rock1997, Wikimedia Commons/CC-BY-SA 4.0)

Zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen hat James Kettle von der Firma Portswigger auf der Black-Hat-Konferenz in Las Vegas gezeigt. Kettle setzte dabei vor allem darauf, mit geschickt gewählten HTTP-Headern Loadbalancer und Webserver zu verwirren.

Stellenmarkt
  1. BWI GmbH, Bonn
  2. DASGIP Information and Process Technology GmbH, Jülich

Zunächst zeigte Kettle einige Angriffe, die darauf basieren, einen HTTP-Request an einen Server mit einem ungültigen Host-Header zu verschicken. Viele Systeme leiten entsprechende Anfragen einfach weiter, egal wohin sie gehen. Bei Yahoo gelang es so, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde hierfür eine interne IP eingefügt.

Dieses System sprach offenbar kein HTTP, sondern ein einfaches, zeilenbasiertes Protokoll. Die Antwort dieses Systems wurde dabei auch zurückgeschickt. Ein HTTP-Request mit der normalerweise nicht existenten Help-Methode führte dazu, dass dieses System eine Hilfe ausgab. Bei dem System handelte es sich um einen Apache Traffic Server, eine Software zum Cachen von HTTP-Verbindungen. Kettle hätte mit dem Angriff Daten direkt in den internen HTTP-Cache von Yahoo schreiben können.

Ein anderes Yahoo-System antwortete ebenfalls auf fehlerhafte Host-Header, schrieb diese aber um. Ein Zugriff mit dem Host example.com wurde zu outage.example.com umgeschrieben. Durch Hostnamen, deren Subdomain outage zu internen Ips aufgelöst wurde, konnte Kettle hier ebenfalls auf interne Yahoo-Systeme zugreifen.

Britisches Zensursystem antwortet auf fehlerhafte Host-Header

Indem Kettle in den Host-Header ein von ihm selbst kontrolliertes System einfügte, konnte er herausfinden, welche Services eine solche Anfrage dorthin weiterleiten. Dabei fiel ihm etwas Ungewöhnliches auf: Zugriffe auf die Domain cloud.mail.ru, einen russischen Service, wurden von IPs der British Telecom beantwortet. Allerdings nur HTTP-Verbindungen, HTTPS-Verbindungen zeigten dieses Verhalten nicht. Das erschien mehr als ungewöhnlich.

Die Auflösung dieses Rätsels: Die Antwort erhielt Kettle vom Zensursystem der British Telecom. Dieses wurde ursprünglich im Rahmen des Projekts Cleanfeed eingerichtet, das zur Blockade von Bildern von Kindesmissbrauch eingeführt wurde. Doch inzwischen wird dasselbe System auch zum Blockieren von Urheberrechtsverletzungen genutzt.

Am Filter des DoD vorbei

Bei HTTP-Requests kann der Host auch bereits in der GET-Zeile angegeben werde, indem dort eine komplette URL übergeben wird. Ein System des US-amerikanischen Department of Defense ließ sich damit überlisten. Es filterte Anfragen auf diverse interne Domains, auf die von außen kein Zugriff möglich sein sollte. Doch als im Host-Header eine öffentlich zugängliche Domain angegeben und die interne Seite via GET abgefragt wurde, konnte der Filter ausgetrickst werden.

Auch URLs in anderen HTTP-Headern führten häufig dazu, dass die entsprechenden Server einen Zugriff auf diese Seiten durchführten. So gibt es laut Kettle eine Reihe von Servern, die auf den Referrer zugreifen.

Facebook ruft Stunden später URL aus uraltem WAP-Header ab

Doch auch obskurere Header testete Kettle aus: Ein Header namens X-Wap-Profile ermöglicht es, eine XML-Definition für die Darstellung von Webseiten auf alten Smartphones zu übergeben. WAP war ein Standard für sehr simple Webseiten für Feature-Phones und wird heute kaum noch genutzt. Facebook rief als einziger getesteter Service diese URL ab, allerdings erst viele Stunden später.

Konkrete Sicherheitslücken hat Kettle für diese weiteren Header nicht gefunden, er merkte aber an, dass XML-Parser und Headless-Browser wie PhantomJS, die für solche Zugriffe häufig genutzt werden, oft Sicherheitslücken haben.



Anzeige
Spiele-Angebote
  1. 2,99€
  2. 1,24€
  3. (-72%) 16,99€
  4. 2,99€

Folgen Sie uns
       


Dell XPS 13 (7390) - Hands on

Das XPS 13 Convertible (7390) ist Dells neues 360-Grad-Gerät: Es nutzt Ice-Lake-Chips für doppelte Geschwindigkeit, hat ein höher auflösendes Display, eine nach oben versetzte Kamera und eine magnetisch arbeitende Tastatur.

Dell XPS 13 (7390) - Hands on Video aufrufen
Black Mirror Staffel 5: Der Gesellschaft den Spiegel vorhalten
Black Mirror Staffel 5
Der Gesellschaft den Spiegel vorhalten

Black Mirror zeigt in der neuen Staffel noch alltagsnäher als bisher, wie heutige Technologien das Leben in der Zukunft katastrophal auf den Kopf stellen könnten. Dabei greift die Serie auch aktuelle Diskussionen auf und zeigt mitunter, was bereits im heutigen Alltag schiefläuft - ein Meisterwerk! Achtung, Spoiler!
Eine Rezension von Tobias Költzsch

  1. Streaming Netflix testet an Instagram erinnernden News-Feed
  2. Start von Disney+ Netflix wird nicht dauerhaft alle Disney-Inhalte verlieren
  3. Videostreaming Netflix will Zuschauerzahlen nicht länger geheim halten

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    •  /