Auf der Web-Security-Konferenz OWASP AppSec Poland 2009 haben italienische Security-Fachleute eine neue Art von Angriffen auf Webanwendungen beschrieben. Die Vortragsfolien zu HTTP Parameter Pollution (HPP) sind nun online erhältlich.
Die neue Klasse von Angriffen ergänzt die bekannten Spielarten, bei denen ein Angreifer Skript- oder SQL-Anweisungen in die HTTP-Get oder Post-Anfragen einschleust. Stefano Di Paola und Luca Carettoni beschäftigen sich in ihrem Vortrag mit der Zuweisung der Key-Value-Paare.
Die mehrfache Definition von Parametern in der folgenden HTTP-Anfrage kann Webanwendungen zu unerwartetem Verhalten bewegen.
GET /foo?par1=val1&par1=val2 HTTP/1.1"
Das beginnt bereits beim eingesetzen Webserver: Manche Server richten sich nach dem ersten Vorkommen, andere nach dem zweiten, wieder andere verketten die Werte oder bilden gar ein Array.
Was bei den HTTP-Servern anfängt, setzt sich in Frameworks und Anwendungen fort. Di Paola und Carettoni demonstrierten den HPP-Effekt an der Weboberfläche des Drucksystems CUPS, an der CPAN-Suche sowie am Web-Framework Plone. Nach der Einschätzung der beiden Fachleute lassen sich durch HPP fest codierte Variablen überschreiben sowie Schwächen der Programmierung ausnutzen. Auch Web Application Firewalls (WAF) und andere Maßnahmen zur Überprüfung und Bereinigung von Eingaben könnten unter Umständen überlistet werden.
Auf weiteren Folien demonstrieren die Referenten wie HPP mit Programmcode interagiert und beziehen auch HTTP-Cookies und URL-Rewriting in die Abläufe mit ein. In weiteren Beispielen aus der Praxis sind Angriffe gegen Mod_Security, PHP-IDS, die Google Search Appliance, verschiedene Web-Suchmaschinen sowie gegen Yahoo-Mail Classic zu sehen.
Als Gegenmaßnahmen empfehlen Stefano Di Paola and Luca Carettoni URL-Encoding und strenge Regular Expressions beim URL-Rewriting. Vor allem aber ermahnen sie die Entwickler, sich der Schwächen der einzelnen Komponenten einer Anwendung bewusst zu sein und Eingaben strikt zu filtern. Die beiden haben ein ausführlicheres Whitepaper zum Thema angekündigt. Die Vortragsfolien stehen zum Download im PDF-Format auf den Seiten des Open Web Application Security Project (OWASP) zur Verfügung.
