Neue Angriffsart auf Webanwendungen: Parameter Pollution

Die italienischen Sicherheitsexperten Luca Carettoni und Stefano di Paola haben auf der vergangenen OWASP-Konferenz einen neuen Ansatz demonstriert (PDF-Datei), wie sich Webanwendungen manipulieren und Sicherheitssysteme austricksen lassen: HTTP Parameter Pollution (HPP). Im Wesentlichen handelt es sich dabei um die Angabe von Parametern in GET- und POST-Requests in ungewöhnlicher Form, Reihenfolge oder Trennung zueinander. Ein Request wie:

GET /foo?par1=val1&par2=val2 HTTP/1.1

wird normal verarbeitet, während

GET /foo?par1=val1&par1=val2 HTTP/1.1

(2-mal par1) je nach Parsingroutine des Webservers oder der Anwendung zu unterschiedlichen Ergebnissen in der Belegung der Variablen auf der Serverseite führt. Dies kann zu ungewünschten und schwer vorhersagbarem Verhalten der Anwendung führen, was Carettoni und di Paola zufolge in Sicherheitsproblemen resultiert.

Darüber hinaus sind auch Web Application Firewalls (WAF) und Sicherheitserweiterungen für Server für HPP anfällig. Das Apache-Modul ModSecurity erkennt zwar einen SQL-Injection-Angriff wie

/index.aspx?page=select 1,2,3 from table where id=1

bei

/index.aspx?page=select 1&page=2,3 from table where id=1

muss es laut den Sicherheitsexperten passen. HPP soll sich auch für Cross-Site-Scripting-Angriffe (XSS) auf Webbrowser missbrauchen lassen. Unter anderem soll sich so der XSS-Filter des Internet Explorer 8 austricksen lassen.

Als Gegenmaßnahmen empfehlen Luca Carettoni und Stefano Di Paola, strenger zu filtern und URL-Encoding. Zudem raten sie den Einsatz strenger Regular Expressions beim Umschreiben von URL-Rewriting an. (dab)