Neue Angriffsart auf Webanwendungen: Parameter Pollution
Sicherheitsexperten haben einen neuen Ansatz demonstriert, wie sich Webanwendungen manipulieren und Sicherheitssysteme austricksen lassen.
- Daniel Bachfeld
Die italienischen Sicherheitsexperten Luca Carettoni und Stefano di Paola haben auf der vergangenen OWASP-Konferenz einen neuen Ansatz demonstriert (PDF-Datei), wie sich Webanwendungen manipulieren und Sicherheitssysteme austricksen lassen: HTTP Parameter Pollution (HPP). Im Wesentlichen handelt es sich dabei um die Angabe von Parametern in GET- und POST-Requests in ungewöhnlicher Form, Reihenfolge oder Trennung zueinander. Ein Request wie:
GET /foo?par1=val1&par2=val2 HTTP/1.1
wird normal verarbeitet, während
GET /foo?par1=val1&par1=val2 HTTP/1.1
(2-mal par1) je nach Parsingroutine des Webservers oder der Anwendung zu unterschiedlichen Ergebnissen in der Belegung der Variablen auf der Serverseite fĂĽhrt. Dies kann zu ungewĂĽnschten und schwer vorhersagbarem Verhalten der Anwendung fĂĽhren, was Carettoni und di Paola zufolge in Sicherheitsproblemen resultiert.
Darüber hinaus sind auch Web Application Firewalls (WAF) und Sicherheitserweiterungen für Server für HPP anfällig. Das Apache-Modul ModSecurity erkennt zwar einen SQL-Injection-Angriff wie
/index.aspx?page=select 1,2,3 from table where id=1
bei
/index.aspx?page=select 1&page=2,3 from table where id=1
muss es laut den Sicherheitsexperten passen. HPP soll sich auch fĂĽr Cross-Site-Scripting-Angriffe (XSS) auf Webbrowser missbrauchen lassen. Unter anderem soll sich so der XSS-Filter des Internet Explorer 8 austricksen lassen.
Als GegenmaĂźnahmen empfehlen Luca Carettoni und Stefano Di Paola, strenger zu filtern und URL-Encoding. Zudem raten sie den Einsatz strenger Regular Expressions beim Umschreiben von URL-Rewriting an. (dab)