• IT-Karriere:
  • Services:

Websicherheit: Server mit HTTP-Headern verwirren

Durch geschickt gewählte HTTP-Header ist es Sicherheitsforschern gelungen, zahlreiche Lücken bei Yahoo, beim Department of Defense und bei der British Telecom zu identifizieren.

Artikel veröffentlicht am , Hanno Böck
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen.
Mittels HTTP-Headern lassen sich oft Loadbalancer und Webserver austricksen. (Bild: Rock1997, Wikimedia Commons/CC-BY-SA 4.0)

Zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen hat James Kettle von der Firma Portswigger auf der Black-Hat-Konferenz in Las Vegas gezeigt. Kettle setzte dabei vor allem darauf, mit geschickt gewählten HTTP-Headern Loadbalancer und Webserver zu verwirren.

Stellenmarkt
  1. SIZ GmbH, Bonn
  2. Deloitte, Berlin, Düsseldorf, Hamburg

Zunächst zeigte Kettle einige Angriffe, die darauf basieren, einen HTTP-Request an einen Server mit einem ungültigen Host-Header zu verschicken. Viele Systeme leiten entsprechende Anfragen einfach weiter, egal wohin sie gehen. Bei Yahoo gelang es so, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde hierfür eine interne IP eingefügt.

Dieses System sprach offenbar kein HTTP, sondern ein einfaches, zeilenbasiertes Protokoll. Die Antwort dieses Systems wurde dabei auch zurückgeschickt. Ein HTTP-Request mit der normalerweise nicht existenten Help-Methode führte dazu, dass dieses System eine Hilfe ausgab. Bei dem System handelte es sich um einen Apache Traffic Server, eine Software zum Cachen von HTTP-Verbindungen. Kettle hätte mit dem Angriff Daten direkt in den internen HTTP-Cache von Yahoo schreiben können.

Ein anderes Yahoo-System antwortete ebenfalls auf fehlerhafte Host-Header, schrieb diese aber um. Ein Zugriff mit dem Host example.com wurde zu outage.example.com umgeschrieben. Durch Hostnamen, deren Subdomain outage zu internen Ips aufgelöst wurde, konnte Kettle hier ebenfalls auf interne Yahoo-Systeme zugreifen.

Britisches Zensursystem antwortet auf fehlerhafte Host-Header

Indem Kettle in den Host-Header ein von ihm selbst kontrolliertes System einfügte, konnte er herausfinden, welche Services eine solche Anfrage dorthin weiterleiten. Dabei fiel ihm etwas Ungewöhnliches auf: Zugriffe auf die Domain cloud.mail.ru, einen russischen Service, wurden von IPs der British Telecom beantwortet. Allerdings nur HTTP-Verbindungen, HTTPS-Verbindungen zeigten dieses Verhalten nicht. Das erschien mehr als ungewöhnlich.

Die Auflösung dieses Rätsels: Die Antwort erhielt Kettle vom Zensursystem der British Telecom. Dieses wurde ursprünglich im Rahmen des Projekts Cleanfeed eingerichtet, das zur Blockade von Bildern von Kindesmissbrauch eingeführt wurde. Doch inzwischen wird dasselbe System auch zum Blockieren von Urheberrechtsverletzungen genutzt.

Am Filter des DoD vorbei

Bei HTTP-Requests kann der Host auch bereits in der GET-Zeile angegeben werde, indem dort eine komplette URL übergeben wird. Ein System des US-amerikanischen Department of Defense ließ sich damit überlisten. Es filterte Anfragen auf diverse interne Domains, auf die von außen kein Zugriff möglich sein sollte. Doch als im Host-Header eine öffentlich zugängliche Domain angegeben und die interne Seite via GET abgefragt wurde, konnte der Filter ausgetrickst werden.

Auch URLs in anderen HTTP-Headern führten häufig dazu, dass die entsprechenden Server einen Zugriff auf diese Seiten durchführten. So gibt es laut Kettle eine Reihe von Servern, die auf den Referrer zugreifen.

Facebook ruft Stunden später URL aus uraltem WAP-Header ab

Doch auch obskurere Header testete Kettle aus: Ein Header namens X-Wap-Profile ermöglicht es, eine XML-Definition für die Darstellung von Webseiten auf alten Smartphones zu übergeben. WAP war ein Standard für sehr simple Webseiten für Feature-Phones und wird heute kaum noch genutzt. Facebook rief als einziger getesteter Service diese URL ab, allerdings erst viele Stunden später.

Konkrete Sicherheitslücken hat Kettle für diese weiteren Header nicht gefunden, er merkte aber an, dass XML-Parser und Headless-Browser wie PhantomJS, die für solche Zugriffe häufig genutzt werden, oft Sicherheitslücken haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 25,99€
  2. 4,65€
  3. (-40%) 23,99€
  4. 3,58€

Folgen Sie uns
       


Ausblendbare Kamera von Oneplus - Hands on (CES 2020)

Das Concept One ist das erste Konzept-Smartphone von Oneplus - und dient dazu, die ausblendbare Kamera zu demonstrieren.

Ausblendbare Kamera von Oneplus - Hands on (CES 2020) Video aufrufen
Computer Vision: Mehr Durchblick beim maschinellen Sehen
Computer Vision
Mehr Durchblick beim maschinellen Sehen

Mit den Services von Amazon, IBM, Microsoft und Google kann jeder recht einfach Bilder analysieren, ohne die genauen Mechanismen dahinter zu kennen. Die Anwendungen unterscheiden sich aber stark - vor allem im Funktionsumfang.
Von Miroslav Stimac

  1. Überwachung Bündnis fordert Verbot von Gesichtserkennung
  2. Videoüberwachung SPD-Chefin gegen Pläne für automatische Gesichtserkennung
  3. China Bürger müssen für Mobilfunkverträge ihre Gesichter scannen

Open Power CPU: Open-Source-ISA als letzte Chance
Open Power CPU
Open-Source-ISA als letzte Chance

Die CPU-Architektur Power fristet derzeit ein Nischendasein, wird aber Open Source. Das könnte auch mit Blick auf RISC-V ein notwendiger Befreiungsschlag werden. Dafür muss aber einiges zusammenkommen und sehr viel passen.
Eine Analyse von Sebastian Grüner

  1. Open Source Monitoring-Lösung Sentry wechselt auf proprietäre Lizenz
  2. VPN Wireguard fliegt wegen Spendenaufruf aus Play Store
  3. Picolibc Neue C-Bibliothek für Embedded-Systeme vorgestellt

Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

    •  /