- HTTP Parameter Pollution nutzt doppelte Parameter aus, um die Logik von Webanwendungen durch Ausnutzung der Wertpriorität zu verändern.
- Die Auswirkungen reichen von kleineren Fehlern bis hin zur Umgehung der Authentifizierung und der WAF-Umgehung und betreffen sogar große Anbieter.
- Da die automatische Erkennung begrenzt ist, ist es notwendig, spezifische Werkzeuge, manuelle Tests und bewährte sichere Entwicklungsmethoden zu kombinieren.
- Das Verständnis dafür, wie die einzelnen Stacks mit wiederholten Parametern umgehen, ist der Schlüssel zur Minderung von HPP und zur Vermeidung von Inkonsistenzen zwischen Validierung und tatsächlicher Nutzung.
Wenn wir über Webanwendungssicherheit sprechen, denken viele Menschen nur an … SQL-Injection, XSS oder AuthentifizierungsfehlerSeit Jahren gibt es jedoch eine eher unauffällige Technik, die bei vielen Audits weiterhin unbemerkt bleibt: die Verunreinigung oder Verschmutzung von HTTP-Parametern, bekannt als HTTP-Parameterverschmutzung (HPP) o HTTP-Parameter-Kontamination.
Diese Art von Schwachstelle nutzt die Art und Weise aus, wie verschiedene Servertechnologien und Frameworks die Verwaltung von Doppelte Parameter in derselben HTTP-AnfrageWenn die Anwendung nicht darauf vorbereitet ist, kann ein Angreifer die interne Logik verändern, Validierungen umgehen, Web Application Firewalls (WAFs) täuschen und sogar die Kontrolle über kritische Funktionen wie Authentifizierung oder Berechtigungsverwaltung übernehmen.
Konzept der HTTP-Parameter und ihrer Priorität
Auf praktisch jeder modernen Website senden Nutzer Daten über HTTP-Parameter in der URL oder im AnfragetextMithilfe dieser Parameter kann der Browser Informationen an die Anwendung übermitteln: Suchanfragen, Formulardaten, Umfrageergebnisse, Kommentare, Anmeldeinformationen usw.
Bei einer typischen GET-Anfrage werden diese Daten in folgendem Format übertragen: Abfragezeichenfolge (alles, was nach dem Fragezeichen in der URL kommt)Schlüssel-Wert-Paare werden durch das kaufmännische Und-Zeichen (&) getrennt. In einer POST-Anfrage können sie im Anfragetext enthalten sein, aber die Anwendungslogik auf dem Server behandelt sie in der Regel sehr ähnlich: Schlüssel mit einem oder mehreren zugehörigen Werten.
Viele Programmiersprachen und Frameworks bieten Methoden, um beides zu erhalten. ein einzelner Wert eines Parameters wie beispielsweise die vollständige Liste der Werte, wenn dieser Parameter wiederholt vorkommt. Dies ist beispielsweise üblich bei Kontrollkästchen, die die Mehrfachauswahl ermöglichen, wobei der gleiche Parametername mehrmals vorkommt.
Das Problem entsteht, wenn der Entwickler annimmt, dass Es wird nur einen Wert pro Parameter geben. und verwendet Funktionen, die einen einzelnen Wert zurückgeben, während der Browser (oder der Angreifer) mehrere Werte mit demselben Namen sendet. An diesem Punkt kommt ein Schlüsselkonzept ins Spiel: Rangfolge der Werte.
Abhängig von der Programmiersprache, dem Framework und dem Webserver kann das mehrfache Vorkommen desselben Parameters zu verschiedenen Verhaltensweisen führen: dass die erster Wert empfangendass er die letzter Wert oder das generiert wird eine Kombination aus allen (zum Beispiel durch Kommas verkettet)Es gibt keinen einheitlichen Standard, daher kann sich jeder Technologie-Stack unterschiedlich verhalten, was die Tür für sehr gefährliche Situationen öffnet.
Dass eine Funktion nur einen Wert zurückgibt, ist an sich keine Schwachstelle, aber wenn es … Doppelte Parameter, die dem Entwickler nicht bekannt sind. Je nachdem, wie diese Priorität funktioniert, kann die Anwendung einen unerwarteten Wert erhalten. Genau dieses anomale Verhalten nutzen bestimmte Techniken aus. HTTP-Parameterverschmutzung.
Was ist HTTP Parameter Pollution (HPP)?
HTTP-Parameter-Verschmutzung ist eine Technik, die aus Folgendem besteht zusätzliche Parameter oder Trennzeichen in der Abfragezeichenfolge einfügen (kodiert) innerhalb anderer vorhandener Parameter. Wenn dieser eingefügte Parameter dekodiert und wiederverwendet wird, um eine neue URL zu generieren oder eine weitere Anfrage zu erstellen, die Anwendung Letztendlich werden zusätzliche Parameter einbezogen, die der Entwickler nicht erwartet hatte..
Mit anderen Worten, HPP nutzt die Art und Weise aus, wie die Anwendung Es rekonstruiert URLs, verarbeitet Formulare und kümmert sich um wiederholte Parameter.Wenn die Eingabe nicht ordnungsgemäß validiert wird, kann ein Angreifer die Anwendung dazu zwingen, andere als die erwarteten Werte zu interpretieren oder zusätzliche Parameter in Links, Formulare und Weiterleitungen einzufügen.
HPP-Verfahren wurden öffentlich vorgestellt von Stefano Di Paola und Luca Carettoni auf der OWASP AppSec 2009 Konferenz. Seitdem wurden sie dokumentiert. viele AngriffsszenarienDoch auch heute noch genießen sie nicht die gleiche Sichtbarkeit wie andere, bekanntere Schwachstellen, und sie werden auch nicht vollständig von allen automatisierten Tools abgedeckt.
Die Auswirkungen eines HTTP-Parameter-Pollution-Angriffs hängen maßgeblich von der besondere Logik der Anwendungdes Frameworks und des Webservers. In manchen Fällen sind die Folgen geringfügig (Darstellungsfehler, Fehler beim Etikettendruck usw.), in anderen Fällen können sie jedoch bedeuten Umgehung der Authentifizierung, Änderung von Berechtigungen oder Manipulation kritischer Vorgänge.
Damit die HPP-Schwachstelle tatsächlich ausgenutzt werden kann, muss der Mechanismus zum Auslesen von Server- oder Framework-Parametern … einen anderen Wert als den erwarteten zurückgeben Wenn doppelte Parameter gefunden werden, kann der Angreifer diese Priorität manipulieren, um den Anwendungsablauf zu seinen Gunsten zu lenken.
Wie Server mit doppelten Parametern umgehen
Das entscheidende technische Element, das die HPP-Technologie ermöglicht, liegt im ungleichen Verhalten der verschiedenen Webserver und Backend-Sprachen bei der Verarbeitung wiederholter Parameter. Nicht jeder macht dasselbe, und genau diese Vielfalt ermöglicht es Angreifern, Schwachstellen zu finden.
In manchen Umgebungen, wenn wir eine URL des Typs senden Variable1=Val1&Variable1=Val2Der Server speichert nur die erster Wert (val1). In anderen Fällen wird es dauern zuletzt empfangenen Wert (val2). Und in bestimmten Fällen, wie es bei bestimmten Konfigurationen vorkommt IISDie beiden Werte sind intern zu einer Liste verkettenzum Beispiel durch Kommas getrennt, die die Anwendung dann interpretieren muss.
Ein häufig angeführtes Beispiel ist, dass Apache Im Standardverhalten behält es üblicherweise den ersten Wert eines Parameters bei und verwirft die folgenden, während andere Technologien einen Wert generieren. CSV-Liste (Komma-getrennte Werte) mit allen Werten dieses fehlerhaften Parameters. Wenn die Backend-Anwendung nur auf einen dieser Fälle ausgelegt ist, können unkontrollierte Szenarien unerwartete Auswirkungen haben.
Diese Behandlung doppelter Parameter wirkt sich nicht nur auf die für den Benutzer sichtbare Logik aus, sondern auch interne Sicherheitskontrollen, Eingabevalidatoren, Authentifizierungs- und AutorisierungsroutinenDerselbe Parameter kann an einer Stelle in der Anwendung mit einem Wert überprüft und an einer anderen Stelle mit einem anderen Wert verwendet werden, und zwar alles innerhalb derselben Anfrage.
Darüber hinaus können HPPs genutzt werden, um folgende Vorteile zu nutzen: interne Charaktertransformationen was der Server selbst tut. Es ist beispielsweise dokumentiert, wie einige Server während der Verarbeitung bestimmte Zeichen ändern (z. B. das Zeichen "]" durch "_" ersetzen), was genutzt werden kann, um Umgehung von Filterregeln oder WAF-Firmwares auf Basis regulärer Ausdrücke.
Folgen und Nutzungsszenarien von HPP
Techniken zur Manipulation von HTTP-Parametern ermöglichen die Erzeugung einer Vielzahl von Risikosituationen, sowohl serverseitig als auch clientseitig. Deren Schweregrad hängt von den jeweiligen Faktoren ab. Funktion des betroffenen Parameters und des Punktes im Anwendungsablauf in der es verändert wird.
Zu den auffälligsten Folgen, die bei anfälligen Anwendungen beobachtet wurden, gehören die Überschreiben geschützter ParameterEin Angreifer kann für einen kritischen Parameter mehrere Werte hinzufügen und die Anwendung durch die Funktionsweise der Prioritätsregeln in dieser spezifischen Umgebung dazu zwingen, genau den schädlichen Wert zu verwenden.
Es ist auch üblich, dass HPP Folgendes ermöglicht: Änderung des erwarteten Verhaltens der AnwendungZum Beispiel durch Ändern von Filtern in internen Suchmaschinen, Ändern von Ressourcenkennungen, Manipulieren von Abstimmungsvorgängen oder Variieren von Parametern, die die Geschäftslogik steuern (wie z. B. Administrator-Flags, Debug-Modi oder Transaktionsstatus).
Eine weitere wichtige Folge ist die Umgehung von EingabevalidierungenWenn der Sicherheitsvalidierungscode das erste Auftreten eines Parameters prüft, die eigentliche Operation aber mit einem späteren Auftreten durchgeführt wird, kann ein Angreifer scheinbar gut implementierte Sicherheitskontrollen umgehen. Dies wurde in folgenden Fällen beobachtet: Umgehung der Authentifizierung und Zugriffskontrolle.
In komplexeren Kontexten kann HPP auslösen Interne Anwendungsfehler, Offenlegung sensibler Informationen, Zugriff auf Variablen außerhalb des vorgesehenen Bereichs und sogar die Verwendung von verketteten Parametern, die, einmal wieder zusammengesetzt, Nutzdaten bilden, die eine WAF bei der Analyse jedes einzelnen Parameters nicht erkannt hat.
Hinsichtlich der Auswirkungen wurden Angriffe von beiden Seiten beobachtet. Serverseite (Umgehung der WAF, Änderung der URL-Umschreibung, Erzwingung anderer interner Routen) ab dem Client-Seite (Einschleusung von Parametern in Links und Formulare, um Opfer durch speziell manipulierte URLs zu täuschen).
Klassisches Beispiel für HPP in einer Abstimmungsanwendung
Um besser zu verstehen, wie ein HTTP-Parameter-Pollution-Angriff funktioniert, betrachten wir das Beispiel eines Abstimmungs-Webanwendung in JSP geschriebenwo die Nutzer bei verschiedenen Wahlen für ihren Lieblingskandidaten abstimmen können.
Die Anwendung empfängt über einen Parameter namens Wahl-ID Die Kennung der aktuellen Wahl. Anhand dieses Wertes generiert der Server eine Seite mit einer Liste der verfügbaren Kandidaten, jeweils mit einem Link zur Stimmabgabe. Die Methode Request.getParameter("pair") In JSP wird, wenn mehrere Werte für denselben Parameter vorhanden sind, immer der Standardwert zurückgegeben. erster Wert.
Stellen wir uns eine URL wie diese vor: http://servidor/eleccion.jsp?eleccion_id=4568Auf der daraufhin angezeigten Seite wird ein Link zur Abstimmung für jeden Kandidaten angezeigt, zum Beispiel:
1-LinkIch wähle Herrn Weiß.
2-LinkIch wähle Frau Green.
Nehmen wir an, ein böswilliger Benutzer, der einen bestimmten Kandidaten unterstützt, erkennt, dass die Anwendung nicht Der Parameter choice_id wurde erfolgreich validiert.Es nutzt eine HPP-Schwachstelle aus und beschließt, den Parameter einzufügen. Kandidat innerhalb dieser choice_id, wobei die Trennzeichen der Abfragezeichenfolge kodiert werden.
Die generierte URL könnte beispielsweise so aussehen: http://servidor/eleccion.jsp?eleccion_id=4568%26candidato%3DgreenBeachten Sie, dass der Angreifer das Symbol & als %26 und das Zeichen = als %3D kodiert hat, sodass sie nach der Dekodierung zu einem neuen Kandidatenparameter werden, der in den Wert election_id eingebettet ist.
Wenn das Opfer auf die manipulierte URL klickt, gelangt es scheinbar zur richtigen Wahl. Da die Anwendung jedoch den Wert der election_id verwendet, um die Abstimmungslinks zu erstellen, muss der eingeschleuste Wert entschlüsselt werden… Letztendlich wird ein zusätzlicher Kandidat in die resultierende Abfragezeichenfolge aufgenommen..
Das Ergebnis ist, dass intern generierte Links etwa so aussehen:
1-LinkIch wähle Herrn Weiß.
2-LinkIch wähle Frau Green.
Es spielt keine Rolle, auf welchen der beiden Links das Opfer klickt: das Skript voting.jsp empfängt immer zwei Instanzen des Kandidatenparameterswobei der erste Wert grün ist. Da der Entwickler Standard-Java-Funktionen verwendet, um einen einzelnen Wert zu erhalten, erhält er nur den ersten Wert aus dem Kandidatenparameter und verwirft den zweiten, der die tatsächliche Stimme des Benutzers darstellen würde.
Dank dieses Verhaltens ermöglicht die HPP-Schwachstelle dem Angreifer Alle auf dieser Seite abgegebenen Stimmen sollen ihrem Kandidaten zugewiesen werden.Ungeachtet der Einstellungen des Opfers in der Benutzeroberfläche. Dies ist ein sehr deutliches Beispiel dafür, wie eine vermeintlich „einfache“ Parameterverwaltung direkte Auswirkungen haben kann. Datenintegrität und Geschäftslogik.
Authentifizierungsumgehung: der Fall Blogger
Eines der berüchtigtsten Beispiele für die Ausnutzung von HTTP-Parameter-Pollution ereignete sich im Blogsystem von BloggerEine Schwachstelle in der Parameterverarbeitung ermöglichte Angreifern den Zugriff auf Administratoren von Blogs anderer Leute werdeneinfach durch Manipulation der Parameter einer POST-Anfrage.
Die problematische Anfrage sah in etwa so aus (vereinfachte Syntax):
POST /add-authors.do HTTP/1.1
security_token=attackertoken&blogID=attackerblogidvalue&blogID=victimblogidvalue&authorsList=attackermail%40gmail.com&ok=Invite
Das Problem lag darin, dass Authentifizierungs- und Sicherheitsverifizierungsmechanismus Ich habe mir gerade den/die/das angesehen erster Parameter blogID Die Anfrage bestätigte, dass der Nutzer die Berechtigungen für diesen Blog besaß. Die eigentliche Operation, die der Gastautor hinzugefügt hat, wurde jedoch mit folgendem Befehl ausgeführt: zweites Vorkommen von Blog-ID, was dem Blog des Opfers entsprach.
Dank dieses internen Widerspruchs wurde die Art und Weise, wie der Server die doppelte ParameterDem Angreifer gelang es, die Sicherheitsüberprüfungen seines eigenen Blogs zu umgehen, die Aktion jedoch auf dem anderen Blog auszuführen. Das Ergebnis war ein vollständige Authentifizierungsumgehung mit einer einzigen, gut formulierten Anfrage.
Dieser Fall veranschaulicht sehr gut, dass HPP nicht nur eine „technische Kuriosität“ ist, sondern eine Technik mit reale Auswirkungen auf die Systeme großer AnbieterDarüber hinaus unterstreicht es die Wichtigkeit von Sicherheitsprüfungen und der Durchführung von Operationen mit exakt denselben Parameterwerten, ohne sich auf unkontrollierte Präzedenzfälle zu verlassen.
HPP und Web Application Firewall (WAF)
Viele Organisationen setzen eine WAF als zusätzliche Schutzebene für ihre Webanwendungen ein, um sie vor bekannten Angriffen zu schützen. Diese Firewalls basieren typischerweise auf … Regeln und Signaturen (reguläre Ausdrücke) die auf die Parameter, Header und sogar den Body von HTTP-Anfragen angewendet werden.
Das Problem besteht darin, dass ein Angreifer bei Vorhandensein doppelter Parameter fragmentiert eine bösartige Nutzlast in mehrere Werte desselben ParametersObwohl die WAF jeden Parameter einzeln analysiert, ist es möglich, dass keiner der isolierten Werte mit den Angriffssignaturen übereinstimmt, sodass die Anfrage die Filter passiert, ohne blockiert zu werden.
Sobald diese Anfrage den Webserver, die Anwendungs-Engine oder den Server selbst erreicht, setzt die Werte gemäß seiner internen Logik neu zusammen. (zum Beispiel durch Verketten mit Kommas oder durch Nehmen des letzten Elements), wodurch eine Zeichenkette entsteht, die als Ganzes den Angriff darstellt. Auf diese Weise ermöglicht dieselbe Parameter-Verschmutzungstechnik Folgendes: Umgehen Sie WAFs, die nicht für die Analyse der verketteten Wertemenge ausgelegt sind..
Darüber hinaus gibt es einige WAFs, die nicht als Reverse-Proxy Und diejenigen, die keinen vollständigen Überblick über den Datenfluss zwischen Client und Server haben, sondern eher als Filter fungieren, können besonders anfällig für diese HPP-Umgehungen sein. Systeme, die auf Technologien wie … basieren, … Apache mit einer Parameterbewertungs- und statistischen Analyse-Engine Sie verhalten sich tendenziell besser im Angesicht solcher Techniken.
Kurz gesagt, zeigt HPP, dass selbst mit einer korrekt konfigurierten WAF, Sicherheit kann nicht garantiert werden. Falls die Anwendungs- und Serverlogik selbst doppelte Parameter falsch verarbeitet, muss der Schutz umfassend sein und berücksichtigen, wie Anfragen auf allen Ebenen verarbeitet werden.
Reale Fälle, Instrumente und Prävalenz von HPP
Akademische Forschung und die Arbeit von Sicherheitsexperten haben gezeigt, dass HTTP-Parameter-Pollution alles andere als selten ist. Projekte wie beispielsweise PAPAS (Parameter-Verschmutzungsanalysesystem), vorangetrieben von Forschern wie Carmen Torrano, wurden genau dafür entwickelt, HPP-Schwachstellen automatisch erkennen in groß angelegten Webanwendungen.
In Experimenten, die an mehr als 5000 äußerst beliebte Websites (Laut Rankings wie Alexa) wurde festgestellt, dass fast 30 % der analysierten Standorte Sie enthielten mindestens eine Seite, die anfällig für HPP war. Das heißt, es war möglich, einen kodierten Parameter in einen anderen bestehenden einzufügen und zu überprüfen, ob er in einer resultierenden URL oder Form dekodiert erschien.
Noch auffälliger ist, dass sich in der Nähe von 47 % der gefundenen Schwachstellen (was etwa 14 % aller Standorte entspricht) waren tatsächlich ausnutzbarDies ermöglichte Angriffe, die über einfache Darstellungsfehler hinausgingen. Zu den betroffenen Websites gehörten: Große Namen wie Microsoft oder GoogleDies verdeutlicht, dass nicht einmal die Tech-Giganten von diesen Problemen ausgenommen sind.
Werkzeuge wie Kartoffeln Sie dienten dazu, das Problem zu analysieren und zu quantifizieren, aber sie haben auch die Schwierigkeit hervorgehoben, HPP automatisch erkennenViele herkömmliche Web-Schwachstellenscanner berücksichtigen doppelte Parameter nicht ausreichend oder erzeugen eine sehr hohe Anzahl von Fehlalarmen.
Neben spezifischen Lösungen wie POTATOES gibt es Erweiterungen wie HPP Finder für Google ChromeDiese Tools dienen der Erkennung potenzieller HPP-Angriffsvektoren in URLs und HTML-Formularen. Sie können zwar helfen, verdächtige Punkte zu identifizieren (z. B. Formulare, die Parameter ohne ordnungsgemäße Validierung wiederverwenden), stellen aber keinen vollständigen Schutz vor Sicherheitslücken dar. Keine Komplettlösung und kein Ersatz für ein umfassendes Sicherheitsaudit.
Ein weiteres, im Ökosystem der Sicherheitstests weit verbreitetes Werkzeug ist OWASP ZAPDies umfasst Erweiterungen und Skripte zum Testen verschiedener Vektoren, einschließlich solcher, die sich auf Parameter in der Abfragezeichenfolge beziehen. Im speziellen Fall von HPP ist es jedoch weiterhin notwendig, automatisierte Tools mit Manuelle Analyse und Verständnis des Anwendungsablaufs.
HPP in internen Suchmaschinen und Beispiele wie Apple.com
HPPs wurden nicht nur in Blog-Managementsystemen oder Administrationspanels beobachtet, sie treten auch in scheinbar harmlose Funktionen wie Tag-Suchmaschinen in Online-Foren und -Communities. Ein eindrucksvolles Beispiel dafür fand sich in der Apple-Foren, wobei die Verwaltung verfälschter Etiketten und Parameter merkwürdige Verhaltensweisen aufwies.
In diesen Foren wurde durch die Auswahl eines Schlagworts in der Benutzeroberfläche ein Parameter hinzugefügt. Tags Der Wert des ausgewählten Tags wurde als Abfragezeichenfolge in der URL übergeben. Die Backend-Anwendung rief diesen Wert ab, suchte nach Themen mit diesem Tag und zeigte die Ergebnisse dem Benutzer an. Wurden mehrere Tags ausgewählt, wurden alle hinzugefügt. im selben Tags-Parameter, getrennt durch den Additionsoperator (+)Das Backend war also bereit, diese Liste zu verarbeiten.
Als der Parameter „tags“ mit mehreren doppelten Werten verunreinigt war, wurde festgestellt, dass die Backend-Technologie einen Fehler erzeugte. durch Kommas getrennte Liste (CSV) mit allen fehlerhaften Parameterwerten. Die Anwendung konnte diese Liste teilweise verarbeiten (die verschiedenen Tags ermitteln), aber Es wurden nicht alle Etiketten korrekt gedruckt. im Textfeld der Suchmaschine.
In diesem speziellen Kontext schien kein ausnutzbarer Sicherheitsfehler vorzuliegen, aber es war klar, dass Es gab Szenarien, die von den Entwicklern nicht berücksichtigt wurden.In anderen, weniger harmlosen Anwendungsfällen könnte ein ähnliches Verhalten dazu führen, dass Diskrepanzen zwischen dem, was validiert wird, dem, was verwendet wird, und dem, was dem Benutzer angezeigt wird., mit weitaus schwerwiegenderen Folgen.
Die Analyse der zugrunde liegenden Technologien in Foren wie beispielsweise dem von Apple (zum Beispiel, Apache mit J2EE im Backend) zeigt, dass sich viele moderne Stacks ähnlich wie Server wie IIS oder Kombinationen wie Apache mit Python verhalten, wenn es um die Verarbeitung verunreinigter Parameter geht, indem sie kommagetrennte Listen erzeugen und die endgültige Verarbeitung dieser Werte an die Anwendungslogik delegieren.
Diese Beispiele dienen als Erinnerung daran, dass Es genügt nicht, dass es in normalen Fällen „scheinbar funktioniert“.Sie müssen systematisch testen, wie die Anwendung reagiert, wenn ihr doppelte Parameter, seltsam codierte Werte, ungewöhnliche Kombinationen usw. gesendet werden, denn genau da liegt die Stärke von HPP.
Erkennung und Minderung von HTTP-Parameterverschmutzung
Die Erkennung und Minderung von HPP erfordert einen hybriden Ansatz, der Folgendes kombiniert: Gute, sichere Entwicklungspraktiken, korrekte Serverkonfiguration und die Verwendung spezifischer ToolsEs reicht nicht aus, sich darauf zu verlassen, dass die WAF alles regelt, denn wie wir gesehen haben, ist es oft genau diese Ebene, die getäuscht werden kann.
Aus Entwicklungssicht ist es unerlässlich, dass Programmierer Beachten Sie, dass ein Parameter mehrere Werte annehmen kann. Sie müssen explizit entscheiden, wie mit diesem Fall umzugehen ist. Sie sollten sich nicht auf Standardverhalten von Sprachen oder Frameworks verlassen, ohne die Funktionsweise der Wertpriorität gründlich zu verstehen.
Es wird außerdem empfohlen, an kritischen Punkten wie zum Beispiel Authentifizierung, Autorisierung, sensible Vorgänge oder wichtige ZustandsänderungenEs wird streng darauf geachtet, dass Parameter nur einmal vorkommen. Anfragen mit doppelten Parametern werden entweder abgelehnt oder zumindest zur Analyse protokolliert.
Bezüglich der Infrastruktur ist es ratsam, die Webserver- und Framework-Konfigurationen Um genau zu verstehen, was passiert, wenn ein wiederholter Parameter empfangen wird: ob der erste, der letzte oder alle zusammen beibehalten werden. Darauf aufbauend kann die Anwendungslogik angepasst werden, um Diskrepanzen zwischen Validierung und tatsächlicher Verwendung des Wertes zu vermeiden.
Im Hinblick auf die Werkzeuge ist es neben den üblichen Schwachstellenscannern sinnvoll, gezielte Lösungen wie beispielsweise … einzusetzen. Kartoffeln oder Erweiterungstyp HPP Finder im Testablauf. Wenn OWASP ZAP oder andere Pentesting-Tools verwendet werden, ist es sinnvoll, spezifische Skripte zu entwerfen, die generieren Anfragen mit doppelten Parametern und Werten, die auf unterschiedliche Weise codiert sind um die Reaktion der Anwendung zu beobachten.
Abschließend ist es wichtig anzuerkennen, dass HPP ein Problem darstellt. weit verbreiteter als allgemein angenommenDies gilt insbesondere für große Anwendungen, die über viele Jahre weiterentwickelt wurden. Die Kombination aus Schulungen, Code-Reviews, automatisierten Tests und gut konzipierten manuellen Tests ist der beste Weg, diese Fehler in Schach zu halten.
Die Kontamination von HTTP-Parametern hat sich zu Recht ihren Platz unter den Webangriffstechniken verdient, die jedes Entwicklungs- und Sicherheitsteam im Blick haben sollte: Es ist unauffällig, mit einem einfachen Blick in die Protokolle schwer zu erkennen und kann sehr ernste Folgen haben. Wenn es wichtige Parameter der Geschäftslogik oder Sicherheitskontrollen beeinträchtigt. Zu verstehen, wie doppelte Parameter in Ihrem Stack behandelt werden, und diese Szenarien aktiv zu testen, mag zunächst etwas mühsam erscheinen, ist aber entscheidend für den Unterschied zwischen einer lediglich funktionsfähigen Anwendung und einer, die wirklich robust gegen fortgeschrittene Angriffe ist.
Leidenschaftlicher Autor über die Welt der Bytes und der Technologie im Allgemeinen. Ich liebe es, mein Wissen durch Schreiben zu teilen, und genau das werde ich in diesem Blog tun und Ihnen die interessantesten Dinge über Gadgets, Software, Hardware, technologische Trends und mehr zeigen. Mein Ziel ist es, Ihnen dabei zu helfen, sich auf einfache und unterhaltsame Weise in der digitalen Welt zurechtzufinden.