UnivIS
Informationssystem der Friedrich-Alexander-Universität Erlangen-Nürnberg © Config eG 
FAU Logo
  Sammlung/Stundenplan    Modulbelegung Home  |  Rechtliches  |  Kontakt  |  Hilfe    
Suche:       
 Lehr-
veranstaltungen
   Personen/
Einrichtungen
   Räume   Forschungs-
bericht
   Publi-
kationen
   Internat.
Kontakte
   Examens-
arbeiten
   Telefon &
E-Mail
 
 
 Darstellung
 
Druckansicht

 
 
 Außerdem im UnivIS
 
Vorlesungs- und Modulverzeichnis nach Studiengängen

Vorlesungsverzeichnis

 
 
Veranstaltungskalender

Stellenangebote

Möbel-/Rechnerbörse

 
 
Einrichtungen >> Technische Fakultät (TF) >> Department Informatik (INF) >> Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen) >>

Large-scale Analysis of Multi-request Behavior for Common HTTP Implementations

Art der Arbeit:
Studien-/Bachelor-/Diplom-/Masterarbeit
Betreuer:
Müller, Tilo
Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen)
E-Mail: tilo.mueller@cs.fau.de

Kurtz, Andreas
Lehrstuhl für Informatik 1 (IT-Sicherheitsinfrastrukturen)
E-Mail: andreas.kurtz@cs.fau.de

Beschreibung der Arbeit:
Anfang des Jahres 2019 hat James Kettle, Leiter der Forschungsabteilung hinter dem Web-Security-Testwerkzeug Burp Suite [1], in dem Vortrag "Turbo Intruder - abusing HTTP misfeatures to accelerate attacks" [2] einen Ansatz vorgestellt, der es erlaubt, die Effizienz von Brute-Force-Angriffen gegen HTTP-Server um bis zu 6000% zu steigern. Dazu wird ein in der Praxis selten genutztes, aber von vielen HTTP-Servern immer noch unterstütztes Feature namens "Pipelining" ausgenutzt. HTTP-Pipelining erlaubt es dabei einem Client über eine einzige TCP-Verbindung eine Vielzahl von HTTP-Anfragen an einen Server zu senden, ohne dabei jeweils auf die Antwort warten zu müssen.

Ziel dieser Abschlussarbeit ist eine Studie, die die Alexa Top-500 Webapplikationen [3] auf ihre Anfälligkeit gegen HTTP-Pipelining-basierte Angriffe hin untersucht und mit klassischen Angriffstechniken vergleicht (einzelne TCP-Verbindungen, Keep-Alive-Verbindungen). Untersucht werden soll sowohl der Durchsatz als auch die Existenz etwaiger Gegenmaßnahmen (IP-basiertes Rate-Limiting, CAPTCHAs, usw.). Es ist zu erwarten, dass einige Betreiber zwar die Anzahl von TCP-Verbindungen limitieren, nicht aber die Anzahl von HTTP-Pipelining-basierten Anfragen. Die Ergebnisse sollen durch entsprechende Grafiken und Statistiken aufbereitet werden, die (1) die Server-seitige Verfügbarkeit von HTTP-Pipelining darstellen, (2) den Durchsatz gegenüber klassischen Brute-Force-Angriffen zeigen, (3) und die Existenz von etwaigen Gegenmaßnahmen prüfen.

Als Resultat dieser Arbeit sind Sicherheitsmeldungen an Server-Betreiber denkbar, die HTTP-Pipelining-basierten Angriffen nicht entgegenwirken. Vorsicht ist geboten bei der Simulation von Brute-Force-Angriffen gegen reale Server, die aus rechtlichen Gründen nur in enger Abstimmung mit den Betreuern erfolgen sollten.

[1] https://portswigger.net/burp
[2] https://www.youtube.com/watch?v=OaYYSifVqxI&t=15174s
[3] https://www.alexa.com/topsites

Schlagwörter:
Web Security
Bearbeitungszustand:
Die Arbeit ist bereits abgeschlossen.

UnivIS ist ein Produkt der Config eG, Buckenhof