Blog-Layout

HTTP Verb Tampering

Christian Vierschilling • Nov. 21, 2021

For English, please scroll to the end of this blog article
Für Englisch, scrollen Sie bitte an das Ende dieses Blogartikels

When testing web applications for security flaws, the applications’ handling of different HTTP request methods – also known as verbs – should be considered.Usually, interactions between clients and servers utilize the HTTP methods GET or POST for accessing resources.

How would an application react if it receives HTTP requests from a client with unexpected or unimplemented HTTP methods, for example? In some cases, tampering the HTTP method might lead to a bypass of authentication and access control mechanisms: imagine a web application that enforces an HTTP basic authentication on a resource when receiving a HTTP request for it with the HTTP method GET – this resource can be for example an admin interface. Now, if the HTTP method is manipulated, it may happen that the authentication is successfully bypassed, and an attacker is granted access to that admin interface.

 

 

What is the risk?
 As described earlier, testing for HTTP verb tampering might lead to the discovery of flaws in authentication and access control mechanisms. Such vulnerabilities can signify loss of confidentiality and integrity, potentially meaning high-risk impacts on businesses.

 

How to remediate? 

Primarily, a web application might be vulnerable for HTTP verb tampering attacks if one of the following conditions are met:

  • the web application uses a security control that lists HTTP verbs
  • the security control fails to block verbs that are not listed
  • a GET verb is used that is not idempotent or will execute with an arbitrary HTTP verb

When it comes to remediation, the applications’ source code should be checked whether any of the above conditions are met. Please be aware that different web servers, frameworks and programming languages handle the implementation of these vulnerable conditions differently.

 

Real life examples 

Although searching for http verb tampering in popular vulnerability records yields only a handful of results (Search in CVE database: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=HTTP+verb+tampering), these vulnerabilities still exist in modern web applications. For example:

  • CVE-2020-4779 is assigned to a recent issue in a product of IBM. (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4779)
  • CVE-2018-2483 belongs to a product of SAP. (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-2483)

Der Beitrag HTTP Verb Tampering erschien zuerst auf e2 Security.

Cybersecurity auf neuem Niveau: e2 Security entdeckt kritische Sicherheitslücke bei Microsoft mit selbst entwickeltem XSS-Tool

von Ibrahim Husić 01 Dez., 2023
GERMAN:

KI und maschinelles Lernen: Die nächste Grenze der Cybersicherheit

von Radha Mehta 09 Nov., 2023
GERMAN: Die nächste Grenze der Cybersicherheit: KI und ML revolutionieren die Cybersicherheit, indem sie intelligentere Verteidigungsmaßnahmen und adaptives Lernen ermöglichen. Diese Technologien verbessern die Erkennung von Bedrohungen und die Effizienz der Reaktion. Neue Herausforderungen wie feindliche Angriffe erfordern jedoch eine Mischung aus neuen und traditionellen Sicherheitsansätzen.

Automatisierte Penetrationstests mit maschinellem Lernen: Die Zukunft der Cybersecurity

von Radha Mehta 12 Okt., 2023
GERMAN: In einer Zeit, in der sich Cyber-Bedrohungen in einem noch nie dagewesenen Tempo weiterentwickeln, ist die Notwendigkeit robuster Sicherheitsmaßnahmen unübersehbar. Da Unternehmen ihren digitalen Fußabdruck immer weiter ausdehnen, wird es immer schwieriger, einen engen Sicherheitsrahmen aufrechtzuerhalten. Die Nachfrage nach zeitnahen und effektiven Penetrationstests ist gestiegen, was zur Konvergenz von maschinellem Lernen und Cybersicherheit geführt hat und eine neue Ära der automatisierten Penetrationstests einläutete.

Im Visier der Cyberkriminellen: Die bedrohliche Welt der Ransomware

von Ibrahim Husić & Justin Shabani 12 Sept., 2023
GERMAN: In einer zunehmend vernetzten Welt, in der unsere Abhängigkeit von digitalen Systemen stetig wächst, sind wir auch anfälliger für eine dunkle Bedrohung namens Ransomware. Diese bösartige Software hat in den letzten Jahren einen erschreckenden Aufschwung erlebt und richtet erheblichen Schaden an. In diesem Artikel werden wir uns eingehend mit der Welt der Ransomware beschäftigen, ihre Entstehung, ihre Ziele und die Motivationen hinter diesen Cyberangriffen. Die Einführung in Ransomware Ransomware ist eine Art von Schadsoftware, die entwickelt wurde, um den Zugriff auf Computersysteme oder Daten zu blockieren, bis eine Geldsumme (Lösegeld) bezahlt wird. Typischerweise verschlüsselt Ransomware die Dateien des Opfers und fordert die Zahlung in Kryptowährung für den Entschlüsselungsschlüssel. Es ist beängstigend zu wissen, dass Ransomware-Angriffe in den letzten fünf Jahren um 13% gestiegen sind, wobei der durchschnittliche Schaden pro Vorfall bei 1,85 Millionen US-Dollar liegt. Das Ziel der Angreifer: Dateien im Visier Die Ransomware versucht nicht, jede Datei auf dem infizierten System zu verschlüsseln. Stattdessen sucht sie gezielt nach bestimmten Dateitypen, die wahrscheinlich wertvolle Inhalte enthalten. Über 300 Dateierweiterungen sind im Visier, darunter 17 Arten von Mediendateien. Diese gezielte Auswahl ermöglicht es den Angreifern, den maximalen Schaden zu verursachen.
Weitere Beiträge

Let's talk.

You have questions about this article or want a consultation?

Please contact us directly!

Let's talk.
Share by: