Barracuda full logo

HTTP-Desync-Angriffe: Eine Variante von Request-Schmuggel-Angriffen

Themen:
17. Nov.. 2020
|
Aravindan Anandan

Im August 2019 veröffentlichte das PortSwigger- Team ein Update für HTTP-Anforderungsschmuggelangriffe — HTTP-Desync-Angriffe . In ihren Untersuchungen identifizierten sie den beträchtlichen Schaden, den Schmuggelangriffe anrichten können, und zeigten, wie eine einst ignorierte Technik zu äußerst schädlichen Zwecken eingesetzt werden kann.Angriffe zum Schmuggeln von Anfragen nutzen die Unfähigkeit des Servers aus, Anomalien in verschiedenen Aspekten einer HTTP-Anfrage sicher zu behandeln. HTTP-Request-Schmuggel-Angriffe reichen von Abweichungen von der Standardverwendung von CR- (Carriage Return) und LF-Zeichen (Line Feed) in einer Anfrage bis hin zur böswilligen Verwendung von Standard-Headern wie Content-Length- und Transfer-Coding-Headern. Diese zugrundeliegende Schwachstelle kann außerdem für XSS-Angriffe (Cross-Site-Scripting), nicht authentifizierten Zugriff auf privilegierte Informationen und Cache Poisoning ausgenutzt werden.Typischerweise senden Cyberkriminelle die Content-Length- und Transfer-Encoding-Header in derselben Anfrage, um den Angriff auszuführen. Laut der RFC-Spezifikationen sollte diese Kombination mit einer Priorisierung des Transfer-Encoding-Headers behandelt werden. Der Trick besteht jedoch darin, den „Transfer-Encoding“-Header zu tarnen, indem Nicht-ASCII-Zeichen in den Namen eingefügt werden, sodass der HTTP-Parser den Header ignoriert.Ein solcher Angriff könnte etwa so aussehen:

POST / HTTP/1.1
Host: saas-app.com
Content-Length: 4
Transfer-Encoding : \x00chunked

1234<script>alert("xss")</script>GET / HTTP/1.0

Im obigen Beispiel enthält der Name „Transfer-Encoding“ ein Leerzeichen, das gemäß der HTTP-Bibliothek von Golang (Golang CVE-2019-16276) gültig war und es ermöglicht, dass die Anfrage als gültig betrachtet wird, was dazu führt, dass die eingeschmuggelte Anfrage ausgeführt wird durch die Backend-Anwendung.

Verteidigung gegen HTTP-Desync-Angriffe

Die Verteidigung gegen einen solchen Angriff beinhaltet:

  • Korrekt zu identifizieren, dass eine zweite HTTP-Anfrage getarnt und innerhalb einer anderen HTTP-Anfrage getunnelt wird

  • Dieser zweiten Anfrage den Zugriff auf den Backend-Server zu verweigern


Heute gibt es mehrere Varianten von Desync-Angriffen . Die Barracuda WAF und WAF-as-a-Service können Ihnen helfen, sich gegen solche Desync-Angriffe zu schützen. Diese Angriffe werden bereits in der Protokollvalidierungsphase identifiziert und illegale Anfragen wie die oben genannten werden blockiert. Ihre Anwendung erhält so einen Rundumschutz vor diesen Angriffen.Einige Beispiele für die angebotenen Schutzmaßnahmen sind:

  • Anfragen mit einem „Transfer-Encoding“- und einem „Content-Length“-Header gelten als Schmuggel-Anfrage und werden standardmäßig verworfen

  • HTTP-Header, die nicht der RFC‑7230-Grammatik folgen, gelten als bösartig und werden blockiert

  • Anfragen mit mehreren Content-Length-Headern werden standardmäßig blockiert

  • Anfragen mit mehreren Dezimalwerten im Content-Length-Header blockieren [z. B.: „Content-Length: 42, 42“]

  • Anfragen mit dem CL-Header, bei denen die Länge nicht mit der Payload-Größe übereinstimmt, werden blockiert


Barracuda Web Application Firewall (WAF) schützt Anwendungen, APIs und Backends für mobile Anwendungen vor einer Vielzahl von Angriffen, darunter die OWASP Top 10, Zero-Day-Bedrohungen, Datenlecks und Denial-of-Service-Angriffe (DoS) auf Anwendungsebene. Barracuda WAF und WAF-as-a-Service sind Teil von Barracuda Cloud Application Protection (CAP), einer Plattform, die Webanwendungen schützt, wo immer sie sich befinden — in der Cloud, vor Ort oder hybrid.

Gartner hat Barracuda im Gartner Magic Quadrant for Web Application Firewalls 2020 als Challenger ausgezeichnet. Es ist das vierte Mal in Folge, dass Barracuda in diesem Bericht für seine „Ability to Execute“ und „Completeness of Vision“ als Challenger ausgezeichnet wurde. Sehen Sie sich an, was Gartner über die Sicherheit von Web-Anwendungen zu sagen hat. Erhalten Sie den vollständigen Bericht mit allen umsetzbaren Erkenntnissen zum Schutz Ihres Unternehmens.

JETZT KOSTENLOSES EXEMPLAR ANFORDERN

Aravindan Anandan

Verwandte Beiträge:
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Partner im Rampenlicht: Innovative Lösungen für moderne Cyberbedrohungen
Partner im Rampenlicht: Innovative Lösungen für moderne Cyberbedrohungen
 Partner-Spotlight: Neugestaltung des Security-Mixes zur Erfüllung immer neuen Anforderungen
Partner-Spotlight: Neugestaltung des Security-Mixes zur Erfüllung immer neuen Anforderungen
 Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Schließen Sie versteckte Sicherheitslücken mit Barracuda Managed Vulnerability Security
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.