水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > HTTP要求を捏造する必要性

HTTP要求を捏造する必要性

2005年9月27日(火曜日)

HTTP要求を捏造する必要性

IE6にパッチ未提供の脆弱性、HTTP Request偽装の恐れ (internet.watch.impress.co.jp)」という話。Firefox にもあって 1.0.7 で修正されていますが……HTTP リクエストに任意のヘッダフィールドをインジェクションできたとして、どう悪用ができるのかいまいちよく分からなかったりしていました。当然 HTTP Request Smuggling 攻撃が連想されるわけですが、攻撃のリクエストを送るのにわざわざ XMLHttpRequest など利用しなくても、もっと簡単な方法がいくらでもありそうですし。

IE についてはまだあまり情報が出ていませんが、Mozilla Foundation Security Advisory 2005-58 (www.mozilla.org) を見ると、こんな事が書かれています。

XMLHttpRequest header spoofing

It was possible to add illegal and malformed headers to an XMLHttpRequest. This could have been used to exploit server or proxy flaws from the user's machine, or to fool a server or proxy into thinking a single request was a stream of separate requests. The severity of this vulnerability depends on the value of servers which might be vulnerable to HTTP request smuggling and similar attacks, or which share an IP address (virtual hosting) with the attacker's page.

以上、Mozilla Foundation Security Advisory 2005-58 より

どうも HTTP Request Smuggling 攻撃の踏み台にされる事が懸念されているようですね。外部からアクセスできないようなサーバ、たとえば企業の LAN で使用されているキャッシュサーバに対しては、外部の攻撃者が直接リクエストを送ることはできません。しかしこの問題を利用すれば、企業内のユーザに罠を踏ませることで攻撃が成立する可能性がある……というような話なのでしょうか。

むしろ重要なのは、末尾の "or which share an IP address" という部分かもしれません。これはおそらく、攻撃者と同じサーバでしかし別ドメインの (バーチャルホストの) サイトに対し、やはり HTTP Request Smuggling 攻撃で攻撃者のページをターゲットの URL のものと認識させるというケースを想定しているのでしょう。これが成立すると XSS のような攻撃が可能になるので、しゃれにならないかもしれません。

いずれにしても、サーバなりブラウザなりキャッシュサーバなりが HTTP Request Smuggling に対して脆弱でなければ問題ない、という理解で良いのかしら。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト