Tag-Archive for » HTTP «

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Mozilla will HTTP nicht mehr unterstützen

HTTP2Erst diskutierten die Mozilla-Entwickler, und dann verkündete Sicherheitschef Richard Barnes offiziell im Mozilla-Blog, dass der Browserhersteller das unsichere, unverschlüsselte HTTP-Protokoll in Zukunft nicht mehr unterstützen will.

Als erstes sollen unverschlüsselt übertragene Inhalten etwa neue Firefox-Funktionen nicht nutzen können, auf die Dauer aber auch bestehende Features des Browsers nur noch sicheren Internetseiten zur Verfügung stehen. Das Ziel sei es, die Betreiber der Webseiten zum Umstieg auf HTTPS zu bewegen und so das Internet sicherer zu machen.

Ein guter Grund, sich für seine Internetseiten jetzt ein entsprechendes Zertifikat – zum Beispiel das kostenlose StartSSL – zu beschaffen und einzusetzen.

Angriffe über http.sys auf Windows-Server

Eine Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn ein Angreifer eine spezielle HTTP-Anforderung an ein betroffenes Windows-System sendet. Die Lücke hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635. Im seinem Security Bulletin MS15-034 beschreibt Microsoft diese kritische Schwachstelle als Sicherheitsproblem in HTTP.sys, einer im IIS genutzten Komponente.

Diverse Honeypot-Fallen zeigen den Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bis jetzt in den meisten Fällen nur für DoS-Angriffe und noch nicht zur Remotecode-Ausführung.

Ein von Microsoft schon bereitgestelltes Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stack von Windows modifiziert. Dies Update sollten Sie als Admin von Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server dringend einspielen.

Firefox 13 kann downgeloadet werden

Die neue Version Firefox 13 wurde soeben von Hersteller Mozilla freigegeben. Im FTP-Bereich findet man die verschiedenen Versionen für Windows, Linux und Mac zum Download.

Die meisten Verbesserungen in Firefox 13 sind nicht direkt an der Oberfläche zu erkennen. Zum Beispiel enthält Firefox 13 das zuerst von Google eingeführte neue SPDY-Protokoll, das zukünftig HTTP ersetzen wird, weil es schneller und wegen der standardmäßigen SSL-Verschlüsselung deutlich sicherer als http ist.

Auch die Startseite ist neu gestaltet worden. Hier kann man jetzt übersichtlich alle wichtigen Funktionen des Browsers aufrufen.

Wer den Firefox-Browser für die Entwicklung von Internetanwendungen und die Erstellung und Überprüfung von Internetseiten nutzt, findet gut 70 Verbesserungen im Page Inspector, im HTML Panel, im Style Inspector, im Scratchpad und auch im Style Editor.

Für Ersteller von Internetseiten ist Firefox 13 ein Muss!

HTTP 2.0 sorgt in Zukunft für schnellere Internetseiten

Es ist schon mehr als 20 Jahre her, dass Tim Berners-Lee mit seinem Team das Internetprotokoll HTTP entwickelt hat. Dies Protokoll legt fest, wie der Browser eine Internetseite mit ihren Komponenten (HTML, CSS, Javascript) anfordert und wie der Server darauf reagiert.

Bei einem Meeting in Paris wurde jetzt die Entwicklung der neuen Version des Protokolls HTTP von der Internet Engineering Task Force (IETF) gestartet. Es gibt schon vier Vorschläge, von denen die bekanntesten wohl „SPDY“ von Google und „http Speed+Mobility“ von Microsoft sind.

Diese zeigen teilweise Überschneidungen, teilweise auch Unterschiede. So hätte Google gerne Verschlüsselung als Normalfall, bei Microsoft’s Vorschlag ist es nur eine Option.

SPDY gibt es ja schon in Googles Browser Chrome und in Amazon’s Silk. Auch Firefox wird SPDY bald unterstützen. Serverseitig nutzen schon Google, Amazon und Twitter SPDY.