Nando Santagata wrote:
"RFC 2068 [...] ALL current web servers comply with this RFC, which
means they ALL are vulnerable to this newly named attack - XST -
cross-site-trace. When misused, TRACE, part of the HTTP protocol, allows
an unauthorized script to be passed to a Web server for execution even
if the server is secured against running such scripts. Even devices like
web-managed routers are open to this."
http://www.extremetech.com/article2/0%2C3973%2C841144%2C00.asp
Avendo avuto modo di usare proficuamente TRACE di recente, dico la
mia: il problema è che IE6 fa acqua da tutte le parti, non in TRACE.
Mi spiego: se un Web Server riceve TRACE invece di GET, deve dare una
risposta con mime type message/http contenente gli header della
richiesta a cui sta rispondendo.
Punto primo: va bene che i browser e in particolare IE eseguono
qualsiasi schifezza gli arrivi, il che è alla radice delle
vulnerabilità di Outlook visto che il motore è lo stesso, ma ci
vuole tanto a trattare message/http in modo diverso da text/html ?
Punto secondo: la vulnerabilità in questione riguarda soprattutto
il cookie httpOnly introdotto da IE6 e XMLHTTP per impedire l'accesso
da javascript a document.cookie in attacchi di cross-site scripting.
Ora, a me pare che il problema sia il cross-iste scripting, quindi
IE 6, e che httpOnly sia la solita non-soluzione tirata fuori in
fretta e furia. Se ci fosse un problema di cross-site scripting in
Mozilla, mi aspetto che si proceda a correggerlo - non a introdurre
un accrocco come httpOnly.
Il white paper in sè, comunque, non rivela niente di particolare;
parte dal presupposto di poter creare un oggetto ActiveX XMLHTTP
per lanciare una richiesta TRACE e leggere i cookie. Ma se via
Cross Site Scripting riesco a creare degli ActiveX, penso di poter
leggere i cookie direttamente da C:\WINDOWS (non ho provato con
IE 6, quasi spero di sbagliarmi e che sia più avvertito dei
predecessori per quanto riguarda gli ActiveX).
La segnalazione, comunque, svolge un servizio utile: spiega davvero
che c'è una minaccia alla sicurezza HTTP, ma non è sufficientemente
chiara nello spiegare che la minaccia è Internet Explorer.
Davide Bolcioni
--
Paranoia is a survival asset.
|