HTTP-Desync-Angriffe: Eine Variante von Request-Schmuggel-Angriffen

Druckfreundlich, PDF & E-Mail

Im August 2019 veröffentlichte das Team von PortSwigger ein Update zu den HTTP-Request-Schmuggel-Angriffen – HTTP-Desync-Angriffe. In ihren Untersuchungen identifizierten sie den beträchtlichen Schaden, den Schmuggelangriffe anrichten können, und zeigten, wie eine einst ignorierte Technik zu äußerst schädlichen Zwecken eingesetzt werden kann.

Request-Schmuggel-Angriffe nutzen die Unfähigkeit des Servers aus, auf sichere Weise mit Anomalien in verschiedenen Aspekten einer HTTP-Anfrage umzugehen. HTTP-Request-Schmuggel-Angriffe reichen von Abweichungen von der Standardverwendung von CR- (Carriage Return) und LF-Zeichen (Line Feed) in einer Anfrage bis hin zur böswilligen Verwendung von Standard-Headern wie Content-Length- und Transfer-Coding-Headern. Diese zugrundeliegende Schwachstelle kann außerdem für XSS-Angriffe (Cross-Site-Scripting), nicht authentifizierten Zugriff auf privilegierte Informationen und Cache Poisoning ausgenutzt werden.

 Typischerweise senden Cyberkriminelle die Content-Length- und Transfer-Encoding-Header in derselben Anfrage, um den Angriff auszuführen. Laut der RFC-Spezifikationen sollte diese Kombination mit einer Priorisierung des Transfer-Encoding-Headers behandelt werden. Der Trick besteht jedoch darin, den „Transfer-Encoding“-Header zu tarnen, indem Nicht-ASCII-Zeichen in den Namen eingefügt werden, sodass der HTTP-Parser den Header ignoriert.

Ein solcher Angriff könnte etwa so aussehen:

POST / HTTP/1.1
Host: saas-app.com
Content-Length: 4
Transfer-Encoding : \x00chunked

1234<script>alert("xss")</script>GET / HTTP/1.0

Im obigen Beispiel enthält der Name „Transfer-Encoding“ einen Leerraum. Das war gemäß der HTTP-Bibliothek von Golang (Golang CVE-2019-16276) gültig. Die Anfrage wird somit als gültig gewertet und die Schmuggel-Anfrage wird von der Backend-Anwendung ausgeführt.

Verteidigung gegen HTTP-Desync-Angriffe

Die Verteidigung gegen einen solchen Angriff beinhaltet:

  • Korrekt zu identifizieren, dass eine zweite HTTP-Anfrage getarnt und innerhalb einer anderen HTTP-Anfrage getunnelt wird
  • Dieser zweiten Anfrage den Zugriff auf den Backend-Server zu verweigern

Es gibt heutzutage mehrere Varianten von Desync-Angriffen. Barracuda WAF und WAF-as-a-Service können Ihnen helfen, alle Arten von Desync-Angriffen abzuwehren. Diese Angriffe werden bereits in der Protokollvalidierungsphase identifiziert und illegale Anfragen wie die oben genannten werden blockiert. Ihre Anwendung erhält so einen Rundumschutz vor diesen Angriffen.

Einige Beispiele für die angebotenen Schutzmaßnahmen sind:

  • Anfragen mit einem „Transfer-Encoding“- und einem „Content-Length“-Header gelten als Schmuggel-Anfrage und werden standardmäßig verworfen
  • HTTP-Header, die nicht der RFC‑7230-Grammatik folgen, gelten als bösartig und werden blockiert
  • Anfragen mit mehreren Content-Length-Headern werden standardmäßig blockiert
  • Anfragen mit mehreren Dezimalwerten im Content-Length-Header [z. B.: „Content-Length: 42,42“] werden blockiert
  • Anfragen mit dem CL-Header, bei denen die Länge nicht mit der Payload-Größe übereinstimmt, werden blockiert

Die Barracuda Web Application Firewall (WAF) schützt Anwendungen, APIs und Backends von mobilen Anwendungen vor einer Vielzahl von Angriffen wie allen OWASP-Top-10-Angriffen, Zero-Day-Bedrohungen, Datenverlust und Denial of Service (DoS)-Angriffen auf Anwendungsebene. Barracuda WAF und WAF-as-a-Service sind Teil der Barracuda Cloud Application Protection (CAP), einer Plattform, die Webanwendungen schützt – egal, wo sich diese befinden: in der Cloud sowie in lokalen und hybriden Umgebungen.

Gartner hat Barracuda als Challenger im 2020 Gartner Magic Quadrant for Web Application Firewalls genannt. Es ist das vierte Mal in Folge, dass Barracuda in diesem Bericht für seine „Ability to Execute“ und „Completeness of Vision“ als Challenger ausgezeichnet wurde. Sehen Sie sich an, was Gartner über die Sicherheit von Web-Anwendungen zu sagen hat. Holen Sie sich den vollständigen Bericht mit allen praxisrelevanten Erkenntnissen zum Schutz Ihres Unternehmens.

JETZT KOSTENLOSES EXEMPLAR ANFORDERN

Leave a Reply

Your email address will not be published. Required fields are marked *

Nach oben scrollen
Twittern
Teilen
Teilen