|
|
|
|
|
|
|
Hypertext Transfer Protocol steht für die Abkürzung HTTP.
Vielfach auch im WWW des Internet benutztes Übertragungsprotokoll für Text, Grafik, Ton usw. Es baut auf TCP-IP als Transportprotokoll auf.
WWW-Adressen beginnen in der Regel mit der Angabe ......
Viele Browser sind mittlerweile so eingerichtet, dass bei Adressen die Angabe "....." auch weggelassen werden kann, weil sie automatisch eingesetzt wird. Anders als bei FTP.
HTTP-Methoden ermöglichen unerlaubtes Ausspähen von Cookies
Ist in einem Cookie die Option httpOnly definiert, darf nur der entsprechende Server darauf zugreifen. Versucht ein Skript den Inhalt des Cookies über die Methode document.cookie abzufragen, wird der Inhalt nicht zurückgeliefert. Damit lassen sich so genannte Cross-Site-Scripting-Attacken (XSS) abwehren. Das CERT/CC weist nun aber in einer Vulnerability Note darauf hin, dass Microsofts Internet Information Server (IIS) eine HTTP-Methode unterstützt, mit der sich solche Cookies trotzdem heimlich ausspähen lassen. Dieses Problem lässt sich allerdings auch analog auf andere Server wie den Apache übertragen.
Zur Fehlersuche ist im HTTP-Protokoll die TRACE-Methode definiert, die als Antwort die ursprüngliche Anfrage eines Web-Clients zurücksendet. Erfordert der Webserver eine Authentifizierung per Cookie, sendet der Client diese mit. In der HTTP-Antwort ist dementsprechend auch das Cookie enthalten. Mit einem Skript kann man nun das Cookie auslesen und anzeigen.
Um nicht das Sicherheitszonen-Modell zu verletzen, darf ein Skript nur mit der Domäne kommunizieren, aus der es stammt. Diverse Fehler in Web-Browsern ermöglichen es aber, Scripting-Code auch in anderen Domänen auszuführen. Damit kann ein Angreifer über eine manipulierte Webseite Code auf einem Client ausführen und über die TRACE-Methode andere Server ansprechen und Cookies auslesen. Diese Art von Angriff bezeichnet man als Cross-Site-Tracing-Angriffe (XST).
Die TRACE-Methode sollte aus Sicherheitsgründen auf Servern im Internet deaktiviert sein, die Anfrage eines Clients bleibt dann ohne Antwort. Ist sie doch aktiviert, schreibt der Server solche Anfragen immerhin in seine Log-Files. Microsoft hat im IIS eine eigene TRACE-Methode implementiert: TRACK. Diese Methode ist zwar nicht vollständig dokumentiert, erfüllt aber weitestgehend den gleichen Zweck wie TRACE. Allerdings loggt der IIS derlei Anfragen nicht mit. Damit kann man einen Angriff nicht mehr nachvollziehen.
Um beim Apache-Webserver die TRACE-Methode zu deaktivieren ist folgende Rewrite-Rule erforderlich:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
Beim IIS lassen sich TRACE- und TRACK-Anfragen mit dem Tool URLScan ausfiltern. Als Methoden sollten nur noch GET, HEAD und POST erlaubt sein. |
|
|
|
|
|
|
Person(en):
Zeitraum:
Firma: |
kein Eintrag vorhanden
- -
kein Eintrag vorhanden |
|
Es gibt 61 weiterführende Erklärungen oder Definitionen:
Adresse, aktiv, Aktivieren, Analog, Anfrage, Angriff, Anzeige,  Apache, Ausführen, Authentifizierung, Browser, CERT, Client, Code, Cookies, Cross-Site-Scripting, Dell, Dokument, Domäne, Engine, Fehler, File, Filter, Format, FTP, GET, Grafik, Head, HTTP, Hypertext, Inform, Information, Microsoft, Mode, Option, Port, POST, Protokoll, Rage, Request, Script, Seite, Server, Site, Skript, TCP, TCP-IP, Text, Tool, Track, Transfer, Übertragung, Übertragungsprotokoll, Web, Webseite, Webserver, Web-Browser, Wort, Write, WWW, Ziehen
|
|
Veröffentlicht am:
Zuletzt bearbeitet am:
Referenz:
|
14.04.2004 von Wilhelm Janssen (7094) Beiträge
02.05.2004 von Wilhelm Janssen
at-mix
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Bei WinTotal finden Sie Programme und Tools für Microsoft Windows
|
|
| Werbung |
|
| | | | |
|
Bei Validome können Sie Ihre Website auf barrierefreies HTML testen |
|
|
