Эксперты фирмы Watchfire (Массачусетс, США; www.watchfire.com), специализирующейся в области компьютерной безопасности, описали новую технику веб-атак, которая использует различия в способах обработки данных, передаваемых по протоколу HTTP, различными программами. Именно это обстоятельство может быть использовано хакерами для осуществления различных незаконных действий, например, для подмены страниц на веб-сайтах или вставки вредоносного кода в документы, вполне легитимные с точки зрения безопасности. Эта техника была названа "контрабандой HTTP-запросов" ("HTTP Request Smuggling" или HRS).

Один из наиболее простых способов такой "контрабанды" - это отправка пакетов данных, содержащих не один тег "content-length", предписывающий браузеру, какое количество данных из пакета должно обрабатываться, а несколько. Оказывается, разные программы по-разному реагируют на пакеты с неединственным тегом "content-length". Так, в случае двух тегов одни браузеры обрабатывают только первый тег и игнорируют второй, тогда как другие, наоборот, реагируют на второй, игнорируя первый. Таким образом можно протаскивать вредоносный код через фильтры и осуществлять атаки на веб-сайты. Специалисты из Watchfire продемонстрировали эту возможность, загрузив новые страницы в кэш сайта без всякой аутентификации, т.е. произвели "отравление кэша" ("cache poisoning").

Для атак можно использовать также различия в количестве данных, обрабатываемых разными программами, и в способах, какими разные программы работают с разными пакетами. Специалисты полагают, что эта уязвимость будет эксплуатироваться еще довольно долго и что единственный способ противостоять угрозам - это неукоснительное выполнение всех инструкций, касающихся HTTP (см., например: faqs.org/rfcs/rfc2616.html).

Источник: "New Scientist" (newscientist.com) от 13.06.2005.

Сергей САНЬКО