四、HTTP走私攻击灰盒测试
之前讲过,HTTP走私攻击所利用的漏洞是,某些精心构造的HTTP消息会随不同的代理(浏览器、web缓存、应用程序防火墙)而做不同的解释。 这种攻击方法是由Chaim Linhart、Amit Klein、Ronen Heled和Steve Orrin于2005年发现的。这种攻击有多种用途,我们这里仅介绍最雷人的一种:绕过应用程序防火墙。
下面,我们详细介绍利用HTTP走私攻击绕过应用程序防火墙的详细方法。有许多应用防火墙都能根据一些已知的嵌入请求的恶意模式来检测和阻止怀有恶意的web请求。举例来说,针对IIS服务器的Unicode目录遍历攻击能够通过提交一个类似下面所示的一个请求发动攻击:
当然,通过检查URL是否存在类似“..”和“cmd.exe”的字符串可以很容易地检测和过滤掉这种攻击。然而,IIS 5.0对于POST请求主体的长度是有要求的,最多为48K字节——当Content-Type头部不同于application/x-www-form-urlencoded时,超出该限制的部分会被全部截断。攻击者可以利用这一点来创建一个很大的请求:
这里,Request #1由49223字节内容组成,所以Request #1还包含了Request #2的几行内容。因此,防火墙(或者其他任何代理)会看到Request #1,但是却无法看到Request #2(它的数据正好是#1请求的一部分),能够看到Request #3却会遗漏Request #4(因为该POST正好是伪造的头部xxxx部分)。现在,IIS 5.0将会发生什么情况?它将在49152字节无用信息之后停止对Request #1的解析,因为这已经达到了48K=49152字节的限制,并将Request #2解析为一个新的、单独的请求。Request #2声称它的内容为33字节,包括xxxx :之前的所有内容,这使得IIS会漏掉Request #3,因为Request #3被解释为Request #2的一部分,但是IIS会认出Request #4,因为它的POST是从Request #2的第33个字节之后开始的。当然,这看起来有些复杂,但是却很好的解释了为什么该攻击性URL不会被防火墙发现,却能被IIS正确解析和执行的原因所在。
在上面的情形中,虽然我们利用的是web服务器中的安全漏洞,但是在其他情形中,我们可以通过利用各种支持HTTP的设备在解析不兼容1005 RFC的消息时所采取的方式各不相同来发动攻击。举例来说,HTTP协议只允许一个Content-Length头部,但是却没有规定如何处理具有两个Content-Length头部的消息。一些实现将使用第一个,而另一些实现则使用第二个,这种情况下就很容易遭到HTTP走私的攻击。另一个例子是GET消息中Content-Length头部的使用。