指定 HTTP 命令的安全限制經常使得訪問權限超過預期的權限。
在以下情況下,可通過篡改 HTTP 命令來繞過應用程序的 authentication 和 authentication 方法:
1) 使用列出 HTTP 命令的安全控制。
2) 安全控制未能阻止沒有列出的動詞。
3) 應用程序根據 GET 請求或其他任意 HTTP 命令更新其狀態。
大多數 Java EE 實現方式都允許配置中沒有明確列出的 HTTP 方法。例如,以下安全限制可應用于 HTTP GET 方法,但不能應用于其他 HTTP 命令:
<security-constraint>
<display-name>Admin Constraint</display-name>
<web-resource-collection>
<web-resource-name>Admin Area</web-resource-name>
<url-pattern>/pages/index.jsp</url-pattern>
<url-pattern>/admin/*.do</url-pattern>
<http-method>GET</http-method>
<http-method>POST</http-method>
</web-resource-collection>
<auth-constraint>
<description>only admin</description>
<role-name>admin</role-name>
</auth-constraint>
</security-constraint>
<http-method> 標簽中明確定義,所以可通過使用 HEAD 請求替換 GET 或 POST 請求來執行管理功能。要使 HEAD 請求能夠執行管理功能,必須保留條件 3,即應用程序必須根據除 POST 之外的命令來執行命令。某些 Web/應用程序服務器接受任意非標準的 HTTP 命令,并像對它們發出 GET 請求那樣進行響應。如果是這種情況,攻擊者可使用請求中的任意命令來查看管理頁面。
GET /admin/viewUsers.do HTTP/1.1
Host:www.example.com
FOO /admin/viewUsers.do HTTP/1.1
Host:www.example.com
[1] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A10 Insecure Configuration Management
[2] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A6 Security Misconfiguration
[3] Arshan Dabirsiaghi - Aspect Security Bypassing Web Authentication and Authorization with HTTP Verb Tampering
[4] Standards Mapping - FIPS200 - (FISMA) CM
[5] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 288
[6] Standards Mapping - Web Application Security Consortium 24 + 2 - (WASC 24 + 2) Insufficient Authentication
[7] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.10