Abo
  • Services:
Anzeige
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen.
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen. (Bild: Rock1997, Wikimedia Commons/CC-BY-SA 4.0)

Websicherheit: Server mit HTTP-Headern verwirren

Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen.
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen. (Bild: Rock1997, Wikimedia Commons/CC-BY-SA 4.0)

Durch geschickt gewählte HTTP-Header ist es Sicherheitsforschern gelungen, zahlreiche Lücken bei Yahoo, beim Department of Defense und bei der British Telecom zu identifizieren.

Zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen hat James Kettle von der Firma Portswigger auf der Black-Hat-Konferenz in Las Vegas gezeigt. Kettle setzte dabei vor allem darauf, mit geschickt gewählten HTTP-Headern Loadbalancer und Webserver zu verwirren.

Anzeige

Zunächst zeigte Kettle einige Angriffe, die darauf basieren, einen HTTP-Request an einen Server mit einem ungültigen Host-Header zu verschicken. Viele Systeme leiten entsprechende Anfragen einfach weiter, egal wohin sie gehen. Bei Yahoo gelang es so, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde hierfür eine interne IP eingefügt.

Dieses System sprach offenbar kein HTTP, sondern ein einfaches, zeilenbasiertes Protokoll. Die Antwort dieses Systems wurde dabei auch zurückgeschickt. Ein HTTP-Request mit der normalerweise nicht existenten Help-Methode führte dazu, dass dieses System eine Hilfe ausgab. Bei dem System handelte es sich um einen Apache Traffic Server, eine Software zum Cachen von HTTP-Verbindungen. Kettle hätte mit dem Angriff Daten direkt in den internen HTTP-Cache von Yahoo schreiben können.

Ein anderes Yahoo-System antwortete ebenfalls auf fehlerhafte Host-Header, schrieb diese aber um. Ein Zugriff mit dem Host example.com wurde zu outage.example.com umgeschrieben. Durch Hostnamen, deren Subdomain outage zu internen Ips aufgelöst wurde, konnte Kettle hier ebenfalls auf interne Yahoo-Systeme zugreifen.

Britisches Zensursystem antwortet auf fehlerhafte Host-Header

Indem Kettle in den Host-Header ein von ihm selbst kontrolliertes System einfügte, konnte er herausfinden, welche Services eine solche Anfrage dorthin weiterleiten. Dabei fiel ihm etwas Ungewöhnliches auf: Zugriffe auf die Domain cloud.mail.ru, einen russischen Service, wurden von IPs der British Telecom beantwortet. Allerdings nur HTTP-Verbindungen, HTTPS-Verbindungen zeigten dieses Verhalten nicht. Das erschien mehr als ungewöhnlich.

Die Auflösung dieses Rätsels: Die Antwort erhielt Kettle vom Zensursystem der British Telecom. Dieses wurde ursprünglich im Rahmen des Projekts Cleanfeed eingerichtet, das zur Blockade von Bildern von Kindesmissbrauch eingeführt wurde. Doch inzwischen wird dasselbe System auch zum Blockieren von Urheberrechtsverletzungen genutzt.

Am Filter des DoD vorbei

Bei HTTP-Requests kann der Host auch bereits in der GET-Zeile angegeben werde, indem dort eine komplette URL übergeben wird. Ein System des US-amerikanischen Department of Defense ließ sich damit überlisten. Es filterte Anfragen auf diverse interne Domains, auf die von außen kein Zugriff möglich sein sollte. Doch als im Host-Header eine öffentlich zugängliche Domain angegeben und die interne Seite via GET abgefragt wurde, konnte der Filter ausgetrickst werden.

Auch URLs in anderen HTTP-Headern führten häufig dazu, dass die entsprechenden Server einen Zugriff auf diese Seiten durchführten. So gibt es laut Kettle eine Reihe von Servern, die auf den Referrer zugreifen.

Facebook ruft Stunden später URL aus uraltem WAP-Header ab

Doch auch obskurere Header testete Kettle aus: Ein Header namens X-Wap-Profile ermöglicht es, eine XML-Definition für die Darstellung von Webseiten auf alten Smartphones zu übergeben. WAP war ein Standard für sehr simple Webseiten für Feature-Phones und wird heute kaum noch genutzt. Facebook rief als einziger getesteter Service diese URL ab, allerdings erst viele Stunden später.

Konkrete Sicherheitslücken hat Kettle für diese weiteren Header nicht gefunden, er merkte aber an, dass XML-Parser und Headless-Browser wie PhantomJS, die für solche Zugriffe häufig genutzt werden, oft Sicherheitslücken haben.


eye home zur Startseite

Kommentieren



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, München, Hamburg, Darmstadt, Bonn
  2. AEbt Angewandte Eisenbahntechnik GmbH, Nürnberg
  3. ING-DiBa AG, Frankfurt
  4. Bundesamt für Verfassungsschutz, Köln


Anzeige
Blu-ray-Angebote
  1. für 1€ über Sky Ticket (via App auch auf Smartphone/Tablet, Apple TV, PS3, PS4, Xbox One...
  2. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  3. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  2. Nvidia

    Keine Volta-basierten Geforces in 2017

  3. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  4. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  5. id Software

    Quake Champions startet in den Early Access

  6. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen

  7. Lenovo

    Smartphone- und Servergeschäft sorgen für Verlust

  8. Open Source Projekt

    Oracle will Java EE abgeben

  9. Apple iPhone 5s

    Hacker veröffentlicht Secure-Enclave-Key für alte iPhones

  10. Forum

    Reddit bietet native Unterstützung von Videos



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Orange Pi 2G IoT ausprobiert: Wir bauen uns ein 20-Euro-Smartphone
Orange Pi 2G IoT ausprobiert
Wir bauen uns ein 20-Euro-Smartphone
  1. Odroid HC-1 Bastelrechner besser stapeln im NAS
  2. Bastelrechner Nano Pi im Test Klein, aber nicht unbedingt oho

  1. Und die Laptopsparte?

    Geigenzaehler | 11:31

  2. Bürokratiemonster

    rocketfoxx | 11:27

  3. Re: Sinn

    Niaxa | 11:26

  4. Re: Deshalb braucht man Konkurrenz

    narfomat | 11:20

  5. Re: Die Menschen schauen gerne in die...

    Ispep | 11:18


  1. 11:21

  2. 17:56

  3. 16:20

  4. 15:30

  5. 15:07

  6. 14:54

  7. 13:48

  8. 13:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel