Browser Fingerprinting - Anhand der GET-Queue

Browser Fingerprinting

Anhand der GET-Queue

Marc Ruef
von Marc Ruef
Lesezeit: 3 Minuten

Die letzten Jahre haben wir uns intensiver mit Application Fingerprinting auseinandergesetzt. Dabei geht es darum anhand des charakteristischen Verhaltens von Anwendungen das eingesetzte Produkt zu erkennen. Dadurch können produktspezifische Angriffe vorbereitet werden. Mit Projekten wie httprecon und browserrecon wurden erste solide Implementierungen umgesetzt, die eine breitflächige Akzeptanz unter Penetration Testern erlangt haben (zur Zeit werden sie vor allem im spanischen Sprachraum rege diskutiert).

Im Rahmen der Identifikation von Webbrowsern haben wir uns nun Gedanken darüber gemacht, ob sich ein solcher anhand der Reihenfolge seiner Downloads bei einem Zugriff auf ein Hypertext-Dokument identifizieren lässt. Die grundlegende These lautet wie folgt:

Ein Browser lädt die in einem Hypertext-Dokument eingebundenen und verlinkten Objekte in charakteristisch unterschiedlicher Weise herunter. Dadurch wird die Unterscheidung verschiedener Produkte möglich.

Erste Gehversuche einer Implementierung wurden umgesetzt. Dabei hat sich herausgestellt, dass zwar grundlegende Unterschiede gegeben sind (z.B. Reihenfolge des Einlesens Favicons und externen CSS-Dateien). Doch die jeweiligen Browser scheinen das Multithreading sehr dynamisch umzusetzen, weshalb unterschiedliche Resultate beobachtet werden können (das Caching wird ebenso unterschiedlich gehandhabt). Die gewünschte Form des Determinismus ist leider nicht gegeben oder noch nicht durch uns verstanden.

Gegenwärtig sind wir damit beschäftigt, die idealen Test-Cases für die Identifikation zu erarbeiten. Dabei spielen voraussichtlich folgende HTML-Elemente eine zentrale Rolle:

Wir sind gespannt, ob dieses Projekt die gewünschten Früchte tragen wird. Zwar musste bisher eine unerwartet hohe Anzahl an Rückschlägen eingesteckt werden. Dennoch schimmert bei der gesamten Arbeit immer wieder etwas Hoffnung durch, wenn denn nun plötzlich eine individuelle und deterministische Eigenart eines Browsers ausgemacht werden konnte. Es gibt noch viel zu tun, diese zu identifizieren.

Über den Autor

Marc Ruef

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

Haben Sie Interesse an einem Penetration Test?

Unsere Spezialisten kontaktieren Sie gern!

×
Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentisierung

Voice Authentisierung

Marc Ruef

Bug-Bounty

Bug-Bounty

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv