HTTP Request Smuggling

Das Paper stellt eine neue Angriffstechnik vor, die darauf beruht, dass beispielsweise ein Proxy und ein Web-Server inkonsistente Angaben in einem HTTP-Request unterschiedlich interpretieren.

04.07.2005, 18:37 Uhr

Lesezeit: 1 Min.

Security

Von

Jürgen Schmidt

Das Paper stellt eine neue Angriffstechnik vor, die die Autoren als HTTP Request Smuggling bezeichnen. Sie kann zum Einsatz kommen, wenn mehrere Systeme an der Übermittlung einer HTTP-Anfrage beteiligt sind -- beispielsweise ein Proxy und ein Web-Server. Der Angriff beruht darauf, dass die Systeme im Datenpfad wiedersprüchliche oder inkonsistente Angaben nicht unbedingt gleich interpretieren. So nutzt bei mehreren Content-Length-Headern in derselben Anfrage der SunOne Proxy den zweiten, der SunOne Webserver hingegen den ersten. Die Autoren führen vor, wie ein Angreifer dies ausnutzen könnte, um den Cache des Proxies zu vergiften. Andere Angriffsszenarien für HRS sind die Täuschung von Firewalls und Intrusion Detection/Prevention Systemen und Request Hijacking.

HTTP Request Smuggling von Watchfire (ju)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}

${intro} ${title}

HTTP Request Smuggling

Spiele

1 Monat gratis lesen.Jetzt 1 Monat gratis lesen.

Das digitale Abo für IT und Technik.