Webanwendungen manipulieren am Beispiel des Flughafens München

Planmäßig fliegt eine Boeing 747-400, aber die Thai Airways setzt auch mal kurzfristig eine 777 auf der Langstrecke von München nach Bangkok ein. Dann sind alle Platzreservierungen hinfällig und der Passagier landet trotz gebuchten Fensterplatzes auch mal in der Mitte der Fünfer-Reihe. Nicht nur deshalb lohnt es sich, am Vorabend vor dem Abflug noch schnell online die Flugdaten zu prüfen. Aber wer die Seite im Browser als Bookmark ablegt, zum Beispiel, um sich am nächsten Morgen zu versichern, dass sich keine Verspätungen ergeben haben, der kann beim Flughafen München eine böse Überraschung erleben (Abbildung 1).

Abbildung 1: Die Informationsseite des Flughafens München für einen Flug nach Bangkok. Alle gezeigten Details wie Flugnummer, Typ des Flugzeugs und Uhrzeit sind manipulierbar, weil die Webanwendung sie ungeprüft via URL übergibt.

Zunächst freut er sich aber: Alles bleibt beim Alten, die 747-400 soll pünktlich abheben. Doch beim Check-in heißt es dann plötzlich, die Platzreservierung sei geändert, es fliegt eine 777. Wieso zeigt die Webseite diese Information nicht an? Denn dieselbe Maschine hatte zuvor einen 12-stündigen Flug nach München und dort zwei Stunden Aufenthalt vor dem geplanten Take-off. Dem Onlinesystem blieben mindestens 14 Stunden Zeit, um die Änderungen zu verarbeiten.

Ein genauerer Blick auf die Webseite des Flughafens München weist den Weg zur Lösung des Rätsels. Die URL der Auskunftseite ist verdächtig lang:

http://www.munich-airport.de/de/consumer/fluginfo/flugdetail/index.jsp?lsk=S&fnr=TG++925&lvg=Thai+Airways+International&ha1=BKK&ha2=&ha3=&haf=Bangkok&hafen=Bangkok&stt=2008-11-13+21%3A50%3A00.0&ett=&lde=Thailand&len=Thailand&ter=2&ber=3&typ=B744&ver=+++&saa=88&gat=H28&zurueck=../abflug/g2000_de_S.jsp 

Tatsächlich enthält der Link als Parameter alle Informationen, von der Flugnummer, der verwendeten Maschine bis hin zur geplanten Landezeit. Durch simples Probieren können neugierige Besucher die Inhalte der angezeigten Webseite ändern (Abbildung 2). Damit erklärt sich auch das Erlebnis eingangs, bei dem Reloads immer dieselben veralteten Informationen über den Flugzeugtyp ausgeben.

Der Server holt die Seite nicht aus einer Datenbank, sondern setzt sie nur anhand der in der URL übergebenen Parameter zusammen. Wie viele ahnungslose Fluggäste sind wohl schon auf diesen Fehler hereingefallen?

Usability und Sicherheit

Aber die mangelnde Benutzerfreundlichkeit ist das kleinere Problem. Es drohen Falschinformationen rund um Terminänderungen, Verspätungen oder abgesagte Flüge. Findige Angreifer könnten zudem gezielte Cross-Site-Scripting-Attacken fahren (Kasten "Cross Site Scripting").

Abbildung 2 zeigt ein (offensichtliches) Beispiel für eine Falschinformation. Die Seite traut den per URL übergebenen Parametern fast bedingungslos. Sie akzeptiert eine frei gewählte Ankunftszeit genauso wie eine offensichtlich ungültige Flugnummer, den noch nicht einmal geplanten Bereich I im Terminal 2 oder ein fiktives Datum. Übergibt der Besucher im Parameter »stt=« einen Wert wie den 13.13.2009, rechnet wahrscheinlich eine JSP-Library das brav um und zeigt den 13. Januar 2010. Solange der Angreifer Tag und Monat zweistellig angibt, ist sogar ein Termin in der Vergangenheit möglich, ein Plausibilitätstest findet offensichtlich nicht statt.

Abbildung 2: Dass der Transporthubschrauber CH-53 nonstop ins australische Outback nach Coober Pedy fliegt, überrascht. Selbst die Bundeswehr transportiert ihn per Flugzeug. Linux Magazin Airways macht's möglich.

Immerhin wird das Kürzel der Fluggesellschaft in der Flugnummer auf maximal drei Zeichen beschränkt, sodass ein Angriff mit einem modifizierten URL-Pfad an dieser Stelle nicht funktioniert oder zumindest nur einen wertlosen Link erzeugt. In der Abbildung 3 ist das Ergebnis zu sehen, wenn der Benutzer in dem Feld »fnr=« den String »/etc/passwd++925« sendet. Immerhin setzt der Flughafen München anscheinend einen filternden Proxy ein: Eine manipulierte URL, die mehr als ein »../« enthält, verursacht eine Fehlermeldung.

Abbildung 3: Die Statuszeile zeigt: Übergibt ein Angreifer in der URL Zeichenketten wie »/etc/password«, dann erscheinen Teile davon in der Flugnummer.

Directory Traversal

Dieses Vorgehen ist Experten unter dem Begriff Directory-Traversal-Angriff bekannt. Dafür ist allerdings immer ein Fehler des Entwicklers notwendig, ein typischer Fall wäre folgender PHP-Code:

<?php
   include('./'.$_REQUEST["filename"]);
?>

Hier hat der Entwickler übersehen, dass ein Verzeichniswechsel auch mit der relativen Pfadangabe »../« möglich ist. Ruft ein Angreifer das Skript zum Beispiel mit

http://test.local/listing1.php?filename=../../../../../../../../../../etc/passwd 

auf, bekommt er sehr wahrscheinlich mehr zu sehen, als erwünscht ist. Eine verbreitete Gegenmaßnahme ist es, einfach führende »../« zu entfernen. Allerdings haben Angreifer mit URLs wie

http://test.local/listing1.php?filename=listing1.php/../../../../etc/passwd 

immer noch Erfolg. Darüber hinaus gibt es noch den Umweg über alternatives Kodieren (siehe Kasten "URL-Encoding"), wo »..%2f« eine äquivalente Darstellung von »../« ist, »..%bg%qf« entspricht der Unicode-Repräsentation. Kommt dann noch mit

<?
include('./'.urldecode($_REQUEST["filename"])); 
?> 

ein typischer Denkfehler des Programmierers dazu, findet sich ein weiterer schöner Angriffsweg durch doppeltes URL-Encoding wie in »filename=..%252F«. Das Zeichen »%25« entschlüsselt der Webserver schon vor dem Aufruf von PHP zu einem »%«. Damit hat »filename« wieder den Wert »..%2F«. Ein zusätzlicher Aufruf von »urldecode« übersetzt diese Zeichenkombination zu »../«.

Eine andere Möglichkeit, in einem solchen Fall gefährliche Inhalte an einfachen Filtern vorbeizuschleusen, wäre »%%32F«, wobei der Server das innere »%32« zunächst zur Ziffer 2 übersetzt. Somit entsteht das gewünschte »%2F«.