Bad Parsing su Web Server
Un esempio di cattivo parsing è rappresentato dalla vulnerabilità individuata nel 2001 relativamente al pacchetto software IIS (Internet Information Server, formalmente un Web Server per sistemi operativi Microsoft Windows).
Anche se il software di molte altre aziende sviluppatrici non è esente da analoghe vulnerabilità la grande diffusione di IIS eleva questo bug di prodotto a problema generale di sicurezza per il WWW.
Il software IIS decodifica gli URL contenuti nelle HTTP Request in accordo a quanto descritto nella RFC 2396.
In tale documento standard viene stabilito che ogni byte dell’URL può essere codificato in notazione esadecimale facendo precedere i due caratteri dal segno % (esempio la codifica del carattere ASCII barra spaziatrice è %20).
L’inconveniente specifico riscontrato con alcune versioni del software IIS è che la codifica dell’URL ricevuto dal client viene effettuata due volte.
La seconda operazione è superflua per ogni client legittimo, ma può essere sfruttata da un attaccante. La verifica di sicurezza (security check) sulla natura della risorsa richiesta è effettuata da IIS dopo la prima operazione di decodifica e non viene ripetuta al termine della seconda.
Poiché il sistema utilizza il risultato della seconda decodifica come riferimento al file locale, un hacker può sfruttare questo disallineamento per richiedere risorse altrimenti non raggiungibili.
Confezionando un’opportuna URL, che prevede una doppia codifica esadecimale di caratteri speciali, l’attaccante può aggirare i controlli impostati dall’amministratore e accedere a risorse del file system non facenti parte del servizio, compreso l’interprete di comandi attivo sul sistema locale (cmd.exe).
In conclusione l’attaccante può sfruttare tale vulnerabilità non solo per leggere informazioni riservate, ma anche per lanciare comandi arbitrari con lo stesso livello di privilegio associato agli altri Server Script eseguibili da IIS.
Microsoft ha provveduto a rilasciare in tempi brevi patch di sicurezza in grado di eliminare la vulnerabilità descritta.
Purtroppo non tutti gli amministratori di piattaforme server hanno provveduto ad installare altrettanto tempestivamente la patch sui propri sistemi, consentendo a lungo lo sfruttamento di tale vulnerabilità da parte degli hacker e dei virus informatici.
