2.6 CVE-2004-0473

Ein Angreifer manipuliert den Inhalt von Anfrageparametern mit dem Ziel, die Sicherheit des Ziels zu untergraben. Bei einigen Parameterkodierungen werden Textzeichen als Trennzeichen verwendet. So werden beispielsweise Parameter in einer HTTP-GET-Nachricht als Name-Wert-Paare kodiert, die durch ein kaufmännisches Und (&) getrennt sind. Wenn ein Angreifer in der Lage ist, Textstrings zu liefern, die zum Ausfüllen dieser Parameter verwendet werden, kann er Sonderzeichen einfügen, die im Kodierungsschema verwendet werden, um Parameter hinzuzufügen oder zu ändern. Wenn beispielsweise Benutzereingaben direkt in eine HTTP-GET-Anfrage eingegeben werden und der Benutzer den Wert "myInput&new_param=myValue" angibt, wird der Eingabeparameter auf myInput gesetzt, aber es wird auch ein neuer Parameter (new_param) mit dem Wert myValue hinzugefügt. Dies kann die Bedeutung der Abfrage, die vom Server verarbeitet wird, erheblich verändern. Jedes Kodierungsschema, bei dem Parameter durch Textzeichen identifiziert und getrennt werden, ist potenziell anfällig für diesen Angriff - die oben verwendete HTTP-GET-Kodierung ist nur ein Beispiel.

Ein Angreifer nutzt eine unsachgemäße Datenvalidierung aus, um bösartige globale Parameter in eine in ein HTML-Dokument eingebettete Flash-Datei zu injizieren. Flash-Dateien können die vom Benutzer übermittelten Daten nutzen, um das Flash-Dokument zu konfigurieren und auf das eingebettete HTML-Dokument zuzugreifen. [Spider] Mit Hilfe eines Browsers oder eines automatisierten Tools zeichnet ein Angreifer alle Instanzen von HTML-Dokumenten auf, die eingebettete Flash-Dateien enthalten. Wenn eine eingebettete Flash-Datei vorhanden ist, wird aufgelistet, wie globale Parameter vom eingebetteten Objekt an die Flash-Datei übergeben werden können. [Bestimmen Sie die Anfälligkeit der Anwendung für Flash-Parameter-Injektion] Bestimmen Sie die Anfälligkeit der Anwendung für Flash-Parameter-Injektion. Für jede in der Erkundungsphase identifizierte URL versucht der Angreifer, je nach Art des an die eingebettete Flash-Datei übergebenen Parameters verschiedene Techniken wie DOM-basierte, reflektierte, Flashvars- und persistente Angriffe einzusetzen. [Execute Flash Parameter Injection Attack] Einschleusen von Parametern in die Flash-Datei. Auf der Grundlage der Ergebnisse der Experimentierphase erstellt der Angreifer die zugrunde liegende bösartige URL, die die injizierten Flash-Parameter enthält, und sendet sie an den Webserver. Sobald der Webserver die Anfrage erhält, wird das eingebettete HTML-Dokument vom Angreifer kontrolliert.

Bei dieser Art von Angriff nutzt ein Angreifer Meta-Zeichen in E-Mail-Kopfzeilen, um unzulässiges Verhalten in E-Mail-Programme einzuschleusen. E-Mail-Software ist immer ausgefeilter und funktionsreicher geworden. Darüber hinaus sind E-Mail-Anwendungen allgegenwärtig und direkt mit dem Internet verbunden, was sie zu idealen Zielen für das Starten und Verbreiten von Angriffen macht. Da die Nachfrage der Benutzer nach neuen Funktionen in E-Mail-Anwendungen wächst, werden diese immer mehr zu Browsern mit komplexen Rendering- und Plug-in-Routinen. Da immer mehr E-Mail-Funktionen integriert und vom Benutzer abstrahiert werden, ergeben sich Möglichkeiten für Angreifer. Praktisch alle E-Mail-Anwendungen führen standardmäßig keine E-Mail-Header-Informationen auf. Der E-Mail-Header enthält jedoch wertvolle Angriffsvektoren, die der Angreifer ausnutzen kann, insbesondere wenn das Verhalten der E-Mail-Client-Anwendung bekannt ist. Meta-Zeichen sind vor dem Benutzer verborgen, können aber Skripte, Aufzählungen, Sonden und andere Angriffe auf das System des Benutzers enthalten. [Identifizieren und charakterisieren von Schwachstellen bei der Verarbeitung von Meta-Zeichen in E-Mail-Headern] Ein Angreifer erstellt E-Mails mit Headern, die verschiedene auf Meta-Zeichen basierende bösartige Nutzdaten enthalten, um festzustellen, ob die Zielanwendung den bösartigen Inhalt verarbeitet und auf welche Weise sie dies tut. Ein Angreifer nutzt die in der Experimentierphase identifizierten Schwachstellen aus, um bösartige E-Mail-Header einzuschleusen und die Ziel-E-Mail-Anwendung zu einem Verhalten zu veranlassen, das außerhalb ihrer erwarteten Einschränkungen liegt.

Ein Angreifer fügt doppelte HTTP-GET/POST-Parameter hinzu, indem er Abfrage-String-Begrenzer einfügt. Über HPP kann es möglich sein, vorhandene fest kodierte HTTP-Parameter außer Kraft zu setzen, das Verhalten der Anwendung zu ändern, auf unkontrollierbare Variablen zuzugreifen und diese möglicherweise auszunutzen sowie Eingabevalidierungsprüfpunkte und WAF-Regeln zu umgehen. [Benutzereingaben finden] Der Angreifer findet eine Stelle in der Webanwendung, die Benutzereingaben in einem Formular oder einer Aktion verwendet. Dies kann auch anhand der Parameter in der URL in der Navigationsleiste des Browsers festgestellt werden [Duplizierte Parameterwerte hinzufügen] Sobald der Angreifer festgestellt hat, welche Benutzereingaben als HTTP-Parameter verwendet werden, fügt er jedem Parameter nacheinander Duplikate hinzu, um die Ergebnisse zu beobachten. Wenn die Antwort auf die HTTP-Anfrage den doppelten Parameterwert in irgendeiner Weise mit dem ursprünglichen Parameterwert verkettet oder einfach nur den doppelten Parameterwert anzeigt, ist HPP möglich. [HPP ausnutzen] Sobald der Angreifer herausgefunden hat, wie das Backend mit doppelten Parametern umgeht, wird er dies ausnutzen, indem er die Parameter auf eine für ihn vorteilhafte Weise verunreinigt. In einigen Fällen werden hartkodierte Parameter vom Backend nicht beachtet. In anderen Fällen kann der Angreifer eine WAF umgehen, die einen Parameter nur prüft, bevor er vom Backend verkettet wurde, was dazu führt, dass bösartige Anfragen durchkommen.

Bei dieser Art eines Angriffs injiziert ein Angreifer Betriebssystembefehle in bestehende Anwendungsfunktionen. Eine Anwendung, die nicht vertrauenswürdige Eingaben zum Aufbau von Befehlsstrings verwendet, ist anfällig. Ein Angreifer kann die Injektion von Betriebssystembefehlen in eine Anwendung ausnutzen, um die Berechtigungen zu erhöhen, beliebige Befehle auszuführen und das zugrunde liegende Betriebssystem zu kompromittieren. [Identifizieren von Eingaben für Betriebssystembefehle] Der Angreifer ermittelt die vom Benutzer kontrollierbaren Eingaben, die als Teil eines Befehls an das zugrunde liegende Betriebssystem weitergegeben werden. Die Anwendung untersuchen] Der Angreifer untersucht die Zielanwendung, möglicherweise als gültiger und authentifizierter Benutzer [Eingaben variieren, nach bösartigen Ergebnissen suchen] Je nachdem, ob es sich bei der auszunutzenden Anwendung um eine entfernte oder lokale Anwendung handelt, bastelt der Angreifer die entsprechenden bösartigen Eingaben, die Betriebssystembefehle enthalten, die an die Anwendung weitergegeben werden sollen [Bösartige Befehle ausführen] Der Angreifer kann Informationen stehlen, einen Hintertür-Zugangsmechanismus installieren, die Berechtigungen erhöhen oder das System auf andere Weise kompromittieren.