|
Einrichtungen >> Technische Fakultät (TF) >> Department Informatik (INF) >> Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) >>
|
Large-scale Analysis of Multi-request Behavior for Common HTTP Implementations
- Art der Arbeit:
- Studien-/Bachelor-/Diplom-/Masterarbeit
- Betreuer:
- Müller, Tilo
Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) E-Mail: tilo.mueller@cs.fau.de
Kurtz, Andreas Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) E-Mail: andreas.kurtz@cs.fau.de
- Beschreibung der Arbeit:
- Anfang des Jahres 2019 hat James Kettle, Leiter der Forschungsabteilung hinter dem Web-Security-Testwerkzeug Burp Suite [1], in dem Vortrag "Turbo Intruder - abusing HTTP misfeatures to accelerate attacks" [2] einen Ansatz vorgestellt, der es erlaubt, die Effizienz von Brute-Force-Angriffen gegen HTTP-Server um bis zu 6000% zu steigern. Dazu wird ein in der Praxis selten genutztes, aber von vielen HTTP-Servern immer noch unterstütztes Feature namens "Pipelining" ausgenutzt. HTTP-Pipelining erlaubt es dabei einem Client über eine einzige TCP-Verbindung eine Vielzahl von HTTP-Anfragen an einen Server zu senden, ohne dabei jeweils auf die Antwort warten zu müssen.
Ziel dieser Abschlussarbeit ist eine Studie, die die Alexa Top-500 Webapplikationen [3] auf ihre Anfälligkeit gegen HTTP-Pipelining-basierte Angriffe hin untersucht und mit klassischen Angriffstechniken vergleicht (einzelne TCP-Verbindungen, Keep-Alive-Verbindungen). Untersucht werden soll sowohl der Durchsatz als auch die Existenz etwaiger Gegenmaßnahmen (IP-basiertes Rate-Limiting, CAPTCHAs, usw.). Es ist zu erwarten, dass einige Betreiber zwar die Anzahl von TCP-Verbindungen limitieren, nicht aber die Anzahl von HTTP-Pipelining-basierten Anfragen. Die Ergebnisse sollen durch entsprechende Grafiken und Statistiken aufbereitet werden, die (1) die Server-seitige Verfügbarkeit von HTTP-Pipelining darstellen, (2) den Durchsatz gegenüber klassischen Brute-Force-Angriffen zeigen, (3) und die Existenz von etwaigen Gegenmaßnahmen prüfen. Als Resultat dieser Arbeit sind Sicherheitsmeldungen an Server-Betreiber denkbar, die HTTP-Pipelining-basierten Angriffen nicht entgegenwirken. Vorsicht ist geboten bei der Simulation von Brute-Force-Angriffen gegen reale Server, die aus rechtlichen Gründen nur in enger Abstimmung mit den Betreuern erfolgen sollten. [1] https://portswigger.net/burp
[2] https://www.youtube.com/watch?v=OaYYSifVqxI&t=15174s
[3] https://www.alexa.com/topsites
- Schlagwörter:
- Web Security
- Bearbeitungszustand:
Die Arbeit ist bereits abgeschlossen. |
|
|
|
|
UnivIS ist ein Produkt der Config eG, Buckenhof |
|
|