
HTTP-Desync-Angriffe: Eine Variante von Request-Schmuggel-Angriffen
Im August 2019 veröffentlichte das PortSwigger- Team ein Update für HTTP-Anforderungsschmuggelangriffe — HTTP-Desync-Angriffe . In ihren Untersuchungen identifizierten sie den beträchtlichen Schaden, den Schmuggelangriffe anrichten können, und zeigten, wie eine einst ignorierte Technik zu äußerst schädlichen Zwecken eingesetzt werden kann.Angriffe zum Schmuggeln von Anfragen nutzen die Unfähigkeit des Servers aus, Anomalien in verschiedenen Aspekten einer HTTP-Anfrage sicher zu behandeln. HTTP-Request-Schmuggel-Angriffe reichen von Abweichungen von der Standardverwendung von CR- (Carriage Return) und LF-Zeichen (Line Feed) in einer Anfrage bis hin zur böswilligen Verwendung von Standard-Headern wie Content-Length- und Transfer-Coding-Headern. Diese zugrundeliegende Schwachstelle kann außerdem für XSS-Angriffe (Cross-Site-Scripting), nicht authentifizierten Zugriff auf privilegierte Informationen und Cache Poisoning ausgenutzt werden.Typischerweise senden Cyberkriminelle die Content-Length- und Transfer-Encoding-Header in derselben Anfrage, um den Angriff auszuführen. Laut der RFC-Spezifikationen sollte diese Kombination mit einer Priorisierung des Transfer-Encoding-Headers behandelt werden. Der Trick besteht jedoch darin, den „Transfer-Encoding“-Header zu tarnen, indem Nicht-ASCII-Zeichen in den Namen eingefügt werden, sodass der HTTP-Parser den Header ignoriert.Ein solcher Angriff könnte etwa so aussehen:
POST / HTTP/1.1
Host: saas-app.com
Content-Length: 4
Transfer-Encoding : \x00chunked
1234<script>alert("xss")</script>GET / HTTP/1.0
Im obigen Beispiel enthält der Name „Transfer-Encoding“ ein Leerzeichen, das gemäß der HTTP-Bibliothek von Golang (Golang CVE-2019-16276) gültig war und es ermöglicht, dass die Anfrage als gültig betrachtet wird, was dazu führt, dass die eingeschmuggelte Anfrage ausgeführt wird durch die Backend-Anwendung.
Verteidigung gegen HTTP-Desync-Angriffe
Die Verteidigung gegen einen solchen Angriff beinhaltet:- Korrekt zu identifizieren, dass eine zweite HTTP-Anfrage getarnt und innerhalb einer anderen HTTP-Anfrage getunnelt wird
- Dieser zweiten Anfrage den Zugriff auf den Backend-Server zu verweigern
Heute gibt es mehrere Varianten von Desync-Angriffen . Die Barracuda WAF und WAF-as-a-Service können Ihnen helfen, sich gegen solche Desync-Angriffe zu schützen. Diese Angriffe werden bereits in der Protokollvalidierungsphase identifiziert und illegale Anfragen wie die oben genannten werden blockiert. Ihre Anwendung erhält so einen Rundumschutz vor diesen Angriffen.Einige Beispiele für die angebotenen Schutzmaßnahmen sind:
- Anfragen mit einem „Transfer-Encoding“- und einem „Content-Length“-Header gelten als Schmuggel-Anfrage und werden standardmäßig verworfen
- HTTP-Header, die nicht der RFC‑7230-Grammatik folgen, gelten als bösartig und werden blockiert
- Anfragen mit mehreren Content-Length-Headern werden standardmäßig blockiert
- Anfragen mit mehreren Dezimalwerten im Content-Length-Header blockieren [z. B.: „Content-Length: 42, 42“]
- Anfragen mit dem CL-Header, bei denen die Länge nicht mit der Payload-Größe übereinstimmt, werden blockiert
Barracuda Web Application Firewall (WAF) schützt Anwendungen, APIs und Backends für mobile Anwendungen vor einer Vielzahl von Angriffen, darunter die OWASP Top 10, Zero-Day-Bedrohungen, Datenlecks und Denial-of-Service-Angriffe (DoS) auf Anwendungsebene. Barracuda WAF und WAF-as-a-Service sind Teil von Barracuda Cloud Application Protection (CAP), einer Plattform, die Webanwendungen schützt, wo immer sie sich befinden — in der Cloud, vor Ort oder hybrid.
Gartner hat Barracuda im Gartner Magic Quadrant for Web Application Firewalls 2020 als Challenger ausgezeichnet. Es ist das vierte Mal in Folge, dass Barracuda in diesem Bericht für seine „Ability to Execute“ und „Completeness of Vision“ als Challenger ausgezeichnet wurde. Sehen Sie sich an, was Gartner über die Sicherheit von Web-Anwendungen zu sagen hat. Erhalten Sie den vollständigen Bericht mit allen umsetzbaren Erkenntnissen zum Schutz Ihres Unternehmens.
JETZT KOSTENLOSES EXEMPLAR ANFORDERN

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.