Tag-Archive for » Header «

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Die Weiterleitung mit PHP

phpmarginWenn eine Internetseite umbenannt wurde und trotzdem noch unter ihrer bisherigen URL zu erreichen sein soll, hilft eine Weiterleitung (Redirect).  Es gibt verschiedene Möglichkeiten dafür, beispielsweise eine .htaccess-Datei  oder ein HTML-Meta-Tag.

Es geht aber auch mit reinem PHP. Der HTTP-Header für eine Weiterleitung mit dem am häufigsten verwendeten Statuscode 301 (Moved Permanently) sieht so aus:

HTTP/1.1 301 Moved Permanently
Location: http://www.neueurl.de

 

Den Header kann man mit der PHP-Funktion header() manipulieren. Der nachstehende PHP-Code führt einen Redirect auf die URL http://www.neueurl.de aus:

<?php
header („HTTP/1.1 301 Moved Permanently“);
header („Location: http://www. neueurl.de /“);
exit();
?>

 

Die URL in Location muss absolut sein, also mit http// beginnen. Es funktioniert auch ohne das exit(), aber das macht deutlich,  dass es hier nicht mehr weiter geht.

Häufig gibt es eine Fehlermeldung bei PHP-Redirects mit der Funktion header(), weil schon vor der Funktion eine Ausgabe stattgefunden hat – ein einzelnes Leerzeichen reicht da schon aus. Nach einer Ausgabe kann man den Header aber nicht mehr modifizieren, so dass in diesem Fall die Weiterleitung nicht durchgeführt wird.

HTML5-Tags Header und Footer

Mit <header> und <footer> wurden zwei neue semantische Tags in HTML5 eingeführt. Beide Tags machen im Grunde nichts anderes als das bekannte <div>-Tag und zeigen ihre Inhalte auch genauso auf dem Bildschirm.

Aber der Einsatz wird auf längere Sicht mit besseren Ergebnissen für Ihre Internetseite bei den Suchmaschinen belohnt, denn die Suchmaschinen sind bei Verwendung der Tags <header> und <footer> in der Lage zwischen Content und Dingen, die zwar für den Benutzer wichtig, aber eben kein Content sind, zu unterscheiden.

Vor HTML5 musste man zur Abgrenzung von Kopf und Fuß vom eigentlichen Content DIVs mit entsprechenden IDs benutzen. Damit haben die beiden neuen Tags jetzt Schluss gemacht.

Category: HTML  Tags: , , , , , , ,  Comments off

HTML5 – die Tags header und footer

Die Tags <header> und <footer> sind zwei der neuen semantischen Tags in HTML5, die im Zusammenhang mit dem ebenfalls neuen Tag <section> zu sehen sind.

Der <header>-Tag beschreibt den Kopf einer Section oder eines ganzen Dokuments. Der Tag informiert insbesondere die Suchmaschinen über den Inhalt einer Sektion oder des Dokumentes. Darin sollten beispielsweise die Überschriften von Artikeln oder des ganzen Dokuments stehen.

Der <footer>-Tag informiert über relevante Links zum Thema einer Sektion oder eines Dokuments und enthält auch Angaben zum Copyright.

Beide Tags können im HTML-Dokument oder innerhalb von <section> stehen und sind besonders bei der Suchmaschinenoptimierung (SEO) neue, interessante Hilfmittel für den Ersteller von Internetseiten.

HTML: Wie binde ich ein Favicon in meine Seite ein?

Favicons sind die kleinen Grafiken, die im Browser vor der URL angezeigt werden, und zwar sowohl vor dem URL-Eingabefeld als auch in den Favoritenlisten. Daher haben diese kleinen Grafiken auch ihren Namen bekommen.

Erstellen können Sie Ihr Favicon mit einem Grafikprogramm, die meisten beherrschen den Typ .ICO. Bei Photoshop gibt es auch ein spezielles Plugin für Favicons.

Die Einbindung des Favicons für eine Seite geschieht mit einem Link im Header der Seite:

<link rel=”shortcut icon” type=”image/x-icon” href=”favicon.ico”>

Für unser Beispiel muss das Favicon den Dateinamen favicon.ico haben und im Wurzelverzeichnis der Internetpräsenz liegen. Andere Namen oder Speicherorte sind möglich, dann muss der Link entsprechend angepasst werden.

Category: HTML  Tags: , , , , ,  Comments off