HTTP Verb Tampering

ABSTRACT

指定 HTTP 命令的安全限制經常使得訪問權限超過預期的權限。

EXPLANATION

在以下情況下，可通過篡改 HTTP 命令來繞過應用程序的 authentication 和 authentication 方法：
1) 使用列出 HTTP 命令的安全控制。
2) 安全控制未能阻止沒有列出的動詞。
3) 應用程序根據 GET 請求或其他任意 HTTP 命令更新其狀態。

以下配置易受 HTTP 命令篡改的攻擊：


<authorization>
<allow verbs="GET,POST" users="admin"/>
<deny verbs="GET,POST"users="*" />
</authorization>

在默認情況下，.NET 框架允許所有 HTTP 命令，因此，即使該配置拒絕對所有用戶發出 GET 和 POST 請求，它也不會阻止 HEAD 請求。這可能使攻擊者使用 HEAD 請求替換 GET 或 POST 請求，從而執行管理功能。換句話說，此代碼滿足上述條件 1 和 2。要使 HEAD 請求能夠執行管理功能，所要做的只有讓應用程序根據使用除 POST 以外的命令的請求來執行命令。

從根本上說，這個漏洞是嘗試創建黑名單的結果，黑名單就是規定用戶不能執行哪些操作的策略。黑名單幾乎達不到其預期的效果。

REFERENCES

[1] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A10 Insecure Configuration Management

[2] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A6 Security Misconfiguration

[3] Arshan Dabirsiaghi - Aspect Security Bypassing Web Authentication and Authorization with HTTP Verb Tampering

[4] Standards Mapping - FIPS200 - (FISMA) CM

[5] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 288

[6] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Insufficient Authentication

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.10

这里只有精品视频