G 5.182 Manipulation von Routen (Routing Detours)

SOAP-Nachrichten können unter Verwendung des Standards WS-Routing oder WS-Addressing Informationen über die Route enthalten, die die Nachricht durchlaufen soll. Dadurch können zum Beispiel Kommunikationsflüsse abgebildet werden, ebenso aber auch Geschäftsprozesse, indem zum Beispiel eine Bestellnachricht nacheinander an verschiedene Dienste (Verfügbarkeitsprüfung, Bezahlung, Bestellung) weitergereicht wird. Bei Verwendung von WS-Routing enthält die Nachricht dabei bereits die gesamte Abfolge von Zieladressen, bei WS-Addressing nur den jeweils nächsten Empfänger.

Gelingt es einem Angreifer, mit einem Man-in-the-Middle-Angriff (siehe auch G 5.143 Man-in-the-Middle-Angriff) die SOAP-Nachrichten beim Versand oder auf dem Übertragungsweg zu manipulieren, so können dabei neben einer Veränderung der Nachrichteninhalte auch die eingebetteten Routing-Informationen verändert werden. Dadurch erhält der Angreifer Kontrolle über die weitere Verarbeitung der Nachricht. Mögliche Angriffe auf diesem Weg sind: