HTTP要求を捏造する必要性

2005年9月27日(火曜日)

HTTP要求を捏造する必要性

「IE6にパッチ未提供の脆弱性、HTTP Request偽装の恐れ (internet.watch.impress.co.jp)」という話。Firefox にもあって 1.0.7 で修正されていますが……HTTP リクエストに任意のヘッダフィールドをインジェクションできたとして、どう悪用ができるのかいまいちよく分からなかったりしていました。当然 HTTP Request Smuggling 攻撃が連想されるわけですが、攻撃のリクエストを送るのにわざわざ XMLHttpRequest など利用しなくても、もっと簡単な方法がいくらでもありそうですし。

IE についてはまだあまり情報が出ていませんが、Mozilla Foundation Security Advisory 2005-58 (www.mozilla.org) を見ると、こんな事が書かれています。

XMLHttpRequest header spoofing
It was possible to add illegal and malformed headers to an XMLHttpRequest. This could have been used to exploit server or proxy flaws from the user's machine, or to fool a server or proxy into thinking a single request was a stream of separate requests. The severity of this vulnerability depends on the value of servers which might be vulnerable to HTTP request smuggling and similar attacks, or which share an IP address (virtual hosting) with the attacker's page.

以上、Mozilla Foundation Security Advisory 2005-58 より

どうも HTTP Request Smuggling 攻撃の踏み台にされる事が懸念されているようですね。外部からアクセスできないようなサーバ、たとえば企業の LAN で使用されているキャッシュサーバに対しては、外部の攻撃者が直接リクエストを送ることはできません。しかしこの問題を利用すれば、企業内のユーザに罠を踏ませることで攻撃が成立する可能性がある……というような話なのでしょうか。

むしろ重要なのは、末尾の "or which share an IP address" という部分かもしれません。これはおそらく、攻撃者と同じサーバでしかし別ドメインの (バーチャルホストの) サイトに対し、やはり HTTP Request Smuggling 攻撃で攻撃者のページをターゲットの URL のものと認識させるというケースを想定しているのでしょう。これが成立すると XSS のような攻撃が可能になるので、しゃれにならないかもしれません。

いずれにしても、サーバなりブラウザなりキャッシュサーバなりが HTTP Request Smuggling に対して脆弱でなければ問題ない、という理解で良いのかしら。

「HTTP要求を捏造する必要性」へのコメント (1件)