Desfigura��o Cross-Usu�rio

Descri��o

Um atacante pode fazer um �nico pedido para um servidor vulner�vel que far� com que
o servidor crie duas respostas, o segundo dos quais pode ser interpretado como uma
resposta a um pedido diferente, possivelmente, uma feita por outro usu�rio que
compartilhar a mesma conex�o TCP com o servidor . Isso pode ser feito, convencendo
o usu�rio a enviar o pedido malicioso em si, ou remotamente em situa��es em que o
atacante compartilhe com o usu�rio uma conex�o TCP comum para o servidor, como um
servidor proxy compartilhado. No melhor dos casos, um atacante pode aproveitar essa
habilidade para convencer os usu�rios de que o pedido tenha sido hackeado, causando
aos usu�rios a perda de confian�a na seguran�a da aplica��o. No pior dos casos, um
atacante pode fornecer conte�do especialmente criado projetado para e imitar o
comportamento da aplica��o, mas redirecionar informa��es pessoais, como n�meros de
contas e senhas, de volta para o atacante.
Este ataque � bastante dif�cil de realizar no ambiente real. A lista de condi��es �
longa e dif�cil de realizar pelo atacante.
A Desfigura��o Cross-Usu�rio � poss�vel por causa da divis�o de resposta HTTP e
falhas na aplica��o web. � crucial do ponto de vista do atacante que o aplicativo
permita preencher o cabe�alho campo com mais de um cabe�alho usando CR (Carrige
Return) e caracteres LF (Line Feed).

Exemplos

N�s encontramos uma p�gina web, que recebe o nome do servi�o a partir da "p�gina"
argumento e ent�o redireciona (302) para este servi�o.
Exemplo: http://testsite.com/redir.php?page=http://other.testsite.com/
E c�digo exemplar da redir.php:

rezos@spin ~/public_html $ cat redir.php

<?php
header ("Location: " . $_GET['page']);
?>

Elaborando solicita��es apropriadas:

/redir.php?page=http://other.testsite.com%0d%0aContent-
Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-
Type:%20text/html%0d%0aContent-
Length:%2019%0d%0a%0d%0a<html>deface</html>

Servidor HTTP ir� responder com duas (n�o uma!) Seguindo os cabe�alhos:

HTTP/1.1 302 Moved Temporarily

Date: Wed, 24 Dec 2003 15:26:41 GMT
Location: http://testsite.com/redir.php?page=http://other.testsite.com
Content-Length: 0

HTTP/1.1 200 OK
Content-Type: text/html
Content-Length: 19
<html>deface</html>

Se o usu�rio compartilha uma conex�o TCP (por exemplo, cache de proxy) e ir� enviar
um pedido:
/ index.html
a resposta n � 2 ser� enviada a ele como uma resposta � sua solicita��o.
Desta forma, foi poss�vel substituir a p�gina web, que foi servida para o usu�rio
especificado.

Mais informa��o pode ser encontrada em uma das apresenta��es sob

http://www.owasp.org/images/1/1a/OWASPAppSecEU2006_HTTPMessage