ПРИНТЕРЫ СЕГОДНЯ - Xakep Online

ХАКЕР 04 /171/ 2013 Защитным фильтрам вопреки 81ОригинальныйзапросInternet ExplorerChrome?test'"\=test?test'"\=test?test%3C/%3E'%22\=testТаблица 1.Различияобработкиquery_stringВ таблице 5 представлены тесты обработки некорректныхпутей с использованием сценария перенаправления.Таким образом, мы можем использовать path traversal конструкциив браузерах Safari, Internet Explorer (используя обнаруженнуюошибку PT-2013-04) и частично в Firefox.OperaSafariFirefox?test%3C/%3E'%22\=test?test%3C/%3E'%22%5C=test?test%3C/%3E%27%22\=testКЛАССИФИКАЦИЯ АТАКРассмотрим варианты реализации атак на клиенты в случае,если Request-URI попадает в HTTP-ответ.Open RedirectОригинальныйзапросInternet ExplorerChrome/test;test'"\/test;test%3C/%3E'%22//test;test%3C/%3E'%22/Таблица 2.РазличияобработкиparamsПример:Location: [Request-Path]/newЭксплуатация:http://example.com//evil.com/%2E%2EOperaSafari/test;test%3C/%3E'%22//test;test%3C/%3E%27%22%5CРезультат:Location: //evil.com/%2E%2E/newFirefoxОригинальныйзапросInternet ExplorerChromeOperaSafariFirefox/test;test%3C/%3E'%22%5C/test/'"\/test/%3C/%3E'%22//test/%3C/%3E'%22//test/%3C/%3E'%22//test/%3C/%3E%27%22%5C/test/%3C/%3E'%22%5C• вырезание path traversal конструкций типа folder/../;• вырезание конструкций типа /./.Таблица 3.Различияобработкиpath_infoРеакцию браузеров на символ \ можно посмотреть в таблице 2 и 3, поскольку браузерыобрабатывают params и path_info как часть пути к сценарию. Разница в обработке другихконструкций представлена в таблице 4. Таким образом, было выявлено сразу несколькобраузеров с необычным поведением при нормализации пути к сценарию:1. Safari (в том числе и его мобильные версии) не производит нормализацию пути, еслиточки представлены в URL-кодированном формате.2. Firefox не вырезает последнюю конструкцию path traversal, если на конце нет символа /.3. Все браузеры, кроме Opera, не вырезают конструкцию path traversal, если символ /представлен в URL-кодированном формате (в то же время далеко не все веб-серверыкорректно обрабатывают данный вариант).Проведя точно такие же тесты, но через сценарий перенаправления HTTP-заголовкомLocation, мы обнаружили очень интересную ошибку в браузере Internet Explorer. ОсобенностьIE в том, что он передает Request-URI, полученный в заголовке Location, практическибез каких-либо изменений. То есть, используя сценарий перенаправления, можнозаставить IE послать в Request-URI любые данные без URL-кодирования (включая управляющиесимволы и символы, необходимые для проведения атак типа «межсайтовое выполнениесценариев», а также произвольные конструкции path traversal, необходимыедля проведения атак через Request-Path). Исключение составляют символы, нарушающиеструктуру стартовой строки HTTP-запроса: \0, \t, \r, \n и пробел. Более подробно обобнаруженной ошибке обработки можно прочесть в PT-2013-04, по ссылке: bit.ly/WuKuh5(на момент написания статьи данная информация еще не была опубликована и ссылка неработала. — Прим. ред.).Браузеры:Safari, Firefox (из-за особенностей обработкиреализация возможна не всегда)Особенность данной атаки в том, что с точки зрения нормализациипути веб-сервером запросы http://example.com/ иhttp://example.com//evil.com/../ одинаковы, но для браузера//evil.com/../ будет восприниматься как ссылка на внешний ресурсбез указания URL-схемы.Иногда сценарии перенаправления учитывают даннуюособенность и усекают повторяющиеся символы /. Такуюпредобработку можно попытаться обойти, используя особенностибраузеров. В таблице 6 представлены примеры значенийзаголовка Location, которые браузеры обрабатывают какссылку на внешний ресурс (под комбинацией [HT] необходимопонимать символ horizontal-tab [0x09], представленный в чистомвиде).Интересная особенность: Internet Explorer и Chrome игнорируютсимвол horizontal-tab в значении заголовка.UI Redress AttackПример:Эксплуатация:http://example.com//evil.com/%2E%2EРезультат:Браузеры:Safari, Internet Explorer (используяPT-2013-04), Firefox (из-за особенностей обработкиреализация возможна не всегда)Запрос // /test/../ /test/%2E%2E/ /test/%2E%2E /test/%2E%2E%2FIE // / / / /..%2FЗапросIEredirect?r=/test