- HTTP parametrų tarša išnaudoja pasikartojančius parametrus, kad pakeistų žiniatinklio programų logiką, pasinaudodama reikšmių pirmenybe.
- Jo poveikis svyruoja nuo nedidelių gedimų iki autentifikavimo apėjimo ir WAF apėjimo, netgi paveikiant didelius paslaugų teikėjus.
- Automatinis aptikimas yra ribotas, todėl būtina derinti specialius įrankius, rankinį testavimą ir gerą saugaus kūrimo praktiką.
- Supratimas, kaip kiekvienas stekas tvarko pasikartojančius parametrus, yra labai svarbus siekiant sumažinti HPP ir išvengti neatitikimų tarp patvirtinimo ir faktinio naudojimo.
Kai kalbame apie žiniatinklio programų saugumą, daugelis žmonių galvoja tik apie SQL injekcijos, XSS arba autentifikavimo klaidosTačiau daugelį metų buvo naudojamas gana tylus metodas, kuris daugelyje auditų vis dar nepastebimas: HTTP parametrų užterštumas arba tarša, žinoma kaip HTTP parametrų tarša (HPP) o HTTP parametrų užterštumas.
Šio tipo pažeidžiamumas išnaudoja tai, kaip skirtingos serverių technologijos ir sistemos valdo pasikartojantys parametrai toje pačioje HTTP užklausojeJei programa tam nepasiruošusi, užpuolikas gali pakeisti vidinę logiką, apeiti patvirtinimus, apgauti žiniatinklio programų užkardas (WAF) ir netgi perimti svarbių funkcijų, tokių kaip autentifikavimas ar leidimų valdymas, kontrolę.
HTTP parametrų ir pirmumo sąvoka
Beveik kiekvienoje šiuolaikinėje svetainėje vartotojai siunčia duomenis per HTTP parametrai URL arba užklausos teksteŠie parametrai leidžia naršyklei perduoti informaciją programai: paieškas, formos duomenis, apklausos pasirinkimus, komentarus, prisijungimo duomenis ir kt.
Įprastoje GET užklausoje duomenys keliauja į užklausos eilutė (viskas, kas yra po ? ženklo URL adrese)Rakto/reikšmės poros atskiriamos ampersando (&) simboliu. POST užklausoje jos gali būti tekste, tačiau serverio programos logika paprastai jas traktuoja labai panašiai: raktai su viena ar keliomis susijusiomis reikšmėmis.
Daugelyje programavimo kalbų ir sistemų yra pateikiami metodai, kaip gauti abu viena parametro reikšmė pvz., visą reikšmių sąrašą, jei tas parametras rodomas pakartotinai. Tai įprasta, pavyzdžiui, su žymimieji langeliai, leidžiantys pasirinkti kelis variantus, kur tas pats parametro pavadinimas pasirodo kelis kartus.
Problema kyla, kai kūrėjas mano, kad Kiekvienam parametrui bus tik viena reikšmė. ir naudoja funkcijas, kurios grąžina vieną reikšmę, o naršyklė (arba užpuolikas) siunčia kelias reikšmes tuo pačiu pavadinimu. Šiuo metu įsijungia pagrindinė koncepcija: vertybių pirmenybė.
Priklausomai nuo kalbos, platformos ir žiniatinklio serverio, daugkartinis to paties parametro pasirodymas gali sukelti kelis elgesio modelius: pirmoji gauta vertėkad jis paima paskutinė vertė arba kuris yra sugeneruotas visų derinys (pavyzdžiui, sujungtas kableliais)Nėra vieno standarto, todėl kiekvienas technologijų paketas gali elgtis skirtingai, o tai atveria duris labai pavojingoms situacijoms.
Tai, kad funkcija grąžina tik vieną reikšmę, savaime nėra pažeidžiamumas, bet kai jis yra Pasikartojantys parametrai, o kūrėjas apie tai nežino Priklausomai nuo to, kaip veikia tas prioritetas, programa gali gauti netikėtą reikšmę. Būtent šį anomalinį elgesį išnaudoja šios technikos. HTTP parametrų tarša.
Kas yra HTTP parametrų tarša (HPP)?
HTTP parametrų teršimas yra technika, kurią sudaro įterpti papildomus parametrus arba užklausos eilutės skirtukus (užkoduotas) kituose esamuose parametruose. Kai tas įterptas parametras yra dekoduojamas ir pakartotinai naudojamas naujam URL generuoti arba kitai užklausai sudaryti, programa Galiausiai į jį įtraukiami papildomi parametrai, kurių kūrėjas nesitikėjo..
Kitaip tariant, HPP išnaudoja taikymą kaip Jis rekonstruoja URL adresus, apdoroja formas ir tvarko pasikartojančius parametrus.Jei įvestis netinkamai patvirtinama, užpuolikas gali priversti programą interpretuoti kitas, nei tikėtasi, reikšmes arba įtraukti papildomų parametrų į nuorodas, formas ir peradresavimus.
HPP metodus viešai pristatė Stefano Di Paola ir Luca Carettoni OWASP AppSec 2009 konferencijoje. Nuo tada jie buvo dokumentuojami daug atakos scenarijųTačiau net ir šiandien jie nėra tokie matomi kaip kiti, geriau žinomi pažeidžiamumai, ir jų visiškai neapima visos automatizuotos priemonės.
HTTP parametrų taršos atakos poveikis labai priklauso nuo konkreti programos logikasistemos ir žiniatinklio serverio. Kai kuriais atvejais pasekmės yra nedidelės (pateikimo klaidos, etikečių spausdinimo sutrikimai ir pan.), tačiau kitais atvejais tai gali reikšti autentifikavimo apėjimas, leidimų keitimas arba svarbių operacijų manipuliavimas.
Kad HPP pažeidžiamumas būtų iš tikrųjų išnaudojamas, serverio arba sistemos parametrų skaitymo mechanizmas turi būti grąžina kitą reikšmę nei tikėtasi kai aptinka pasikartojančius parametrus. Tuomet užpuolikas gali manipuliuoti šiuo prioritetu, kad nukreiptų programos srautą savo naudai.
Kaip serveriai tvarko pasikartojančius parametrus
Pagrindinis techninis elementas, leidžiantis HPP, yra nevienodas skirtingų elementų elgesys. žiniatinklio serveriai ir vidinės kalbos apdorojant pasikartojančius parametrus. Ne visi daro tą patį, ir būtent ši įvairovė leidžia užpuolikams rasti pažeidžiamumų.
Kai kuriose aplinkose, jei siunčiame URL, kurio tipas kintamasis1=reikšm1&kintamasis1=reikšm2serveris išsaugos tik pirmoji reikšmė (val1). Kitais atvejais reikės paskutinė gauta vertė (val2). Ir tam tikrais atvejais, kaip nutinka su tam tikromis konfigūracijomis IIS, abi vertės yra sujungti viduje į sąrašą, pavyzdžiui, atskirti kableliais, kuriuos programa turės interpretuoti.
Dažnai minimas pavyzdys yra tas, kad apache Pagal numatytuosius nustatymus jis paprastai išsaugo pirmąją parametro reikšmę ir atmeta kitas, o kitos technologijos generuoja CSV (kableliais atskirtų reikšmių) sąrašas su visomis to užteršto parametro reikšmėmis. Jei vidinė programa pritaikoma tik vienam iš šių atvejų, nekontroliuojami scenarijai gali sukelti netikėtų pasekmių.
Šis pasikartojančių parametrų tvarkymas ne tik veikia vartotojui matomą logiką, bet ir vidinės saugumo kontrolės priemonės, įvesties validatoriai, autentifikavimo ir autorizavimo procedūrosTas pats parametras gali būti patikrintas viename programos taške naudojant vieną reikšmę, o kitame taške panaudotas su kita reikšme – visa tai toje pačioje užklausoje.
Be to, HPP gali būti naudojami siekiant pasinaudoti vidiniai charakterio pokyčiai kurį atlieka pats serveris. Pavyzdžiui, buvo dokumentuota, kaip kai kurie serveriai apdorojimo metu pakeičia tam tikrus konkrečius simbolius (pvz., simbolį „]“ pakeičia „_“), o tai gali būti panaudota filtravimo taisyklių arba WAF programinės įrangos apėjimas, pagrįstas reguliariomis išraiškomis.
HPP pasekmės ir išnaudojimo scenarijai
HTTP parametrų taršos metodai leidžia generuoti gana platų rizikos situacijų spektrą tiek serverio, tiek kliento pusėse. Jų pavojingumas priklauso nuo paveikto parametro funkcija ir taškas programos sraute kurioje jis yra pakeistas.
Tarp pastebimiausių pažeidžiamose programose pastebėtų pasekmių yra perrašyti apsaugotus parametrusUžpuolikas gali pridėti daugiau nei vieną reikšmę kritiniam parametrui ir priversti programą naudoti būtent kenkėjišką reikšmę dėl to, kaip pirmenybė veikia toje konkrečioje aplinkoje.
Taip pat įprasta, kad HPP leidžia numatomo programos elgesio modifikavimasPavyzdžiui, keičiant filtrus vidinėse paieškos sistemose, keičiant išteklių identifikatorius, manipuliuojant balsavimo operacijomis arba keičiant parametrus, kurie valdo verslo logiką (pvz., administratoriaus žymas, derinimo režimus arba operacijų būsenas).
Kita svarbi pasekmė yra ta, įvesties patvirtinimo vengimasJei saugumo patvirtinimo kodas tikrina pirmąjį parametro pasirodymą, bet tikroji operacija atliekama su vėlesniu pasirodymu, užpuolikas gali apeiti, regis, gerai įdiegtus saugumo valdiklius. Tai buvo pastebėta tokiais atvejais: autentifikavimas ir prieigos kontrolės apėjimas.
Sudėtingesniuose kontekstuose HPP gali sukelti vidinės programos klaidos, neskelbtinos informacijos atskleidimas, prieiga prie kintamųjų, esančių už numatytos taikymo srities ribų ir netgi sujungtų parametrų, kurie, surinkti iš naujo, sudaro naudingąsias apkrovas, kurių WAF neaptiko analizuodamas kiekvieną parametrą atskirai, naudojimas.
Kalbant apie poveikį, išpuoliai buvo stebimi iš abiejų pusių. serverio pusėje (aplenkiant WAF, keičiant URL perrašymą, priverstinai naudojant skirtingus vidinius maršrutus) nuo kliento pusėje (parametrų įterpimas į nuorodas ir formas, siekiant apgauti aukas naudojant specialiai manipuliuojamus URL).
Klasikinis HPP pavyzdys balsavimo programoje
Norint geriau suprasti, kaip veikia HTTP parametrų taršos ataka, pateikiame pavyzdį JSP kalba parašyta balsavimo žiniatinklio programakur vartotojai gali balsuoti už savo mėgstamiausią kandidatą skirtinguose rinkimuose.
Programa gauna per parametrą, vadinamą rinkimų_id Dabartinių rinkimų identifikatorius. Naudodamas šią reikšmę, serveris sugeneruoja puslapį, kuriame išvardyti galimi kandidatai, o kiekvienas iš jų turi nuorodą balsuoti. Metodas Request.getParameter("pora") JSP kalboje, kai tam pačiam parametrui yra kelios reikšmės, visada grąžinama pirmoji reikšmė.
Įsivaizduokime tokį URL: http://servidor/eleccion.jsp?eleccion_id=4568Gautame puslapyje rodoma nuoroda balsuoti už kiekvieną kandidatą, pavyzdžiui:
„1“ nuorodaBalsuoju už poną White'ą
„2“ nuorodaBalsuoju už ponia Green
Tarkime, kad piktavalis vartotojas, palaikantis konkretų kandidatą, supranta, kad programa to nedaro. sėkmingai patvirtina parametrą „choice_id“Pasinaudodamas HPP pažeidžiamumu, jis nusprendžia įterpti parametrą kandidatas tame choice_id, koduojant užklausos eilutės skirtukus.
Sukurtas URL galėtų būti maždaug toks: http://servidor/eleccion.jsp?eleccion_id=4568%26candidato%3DgreenAtkreipkite dėmesį, kad užpuolikas užkodavo simbolį „&“ kaip %26, o ženklą „=“ – kaip %3D, todėl po dekodavimo jie tampa nauju kandidato parametru, įterptu į „election_id“ reikšmę.
Kai auka spusteli tą manipuliuotą URL, ji, regis, pasiekia teisingą „election“. Tačiau kadangi programa naudoja „election_id“ reikšmę balsavimo nuorodoms sukurti, įterptą reikšmę dekoduojama... Galiausiai į gautą užklausos eilutę įtraukiamas papildomas kandidatas..
Rezultatas yra toks: viduje sugeneruotos nuorodos tampa maždaug tokia forma:
„1“ nuorodaBalsuoju už poną White'ą
„2“ nuorodaBalsuoju už ponia Green
Nesvarbu, kurią iš dviejų nuorodų auka paspaudžia: scenarijų voting.jsp visada gauna du kandidato parametro egzemplioriuskur pirmoji reikšmė yra žalia. Kadangi kūrėjas naudoja standartines „Java“ funkcijas vienai reikšmei gauti, jis gauna tik pirmąją kandidato parametro reikšmę ir atmeta antrąją, kuri užfiksuotų tikrąjį vartotojo balsą.
Dėl šio elgesio HPP pažeidžiamumas leidžia užpuolikui priversti visus tame puslapyje atiduotus balsus atitekti jų kandidatuinepriklausomai nuo aukos pasirinkimų sąsajoje. Tai labai aiškus pavyzdys, kaip tariamai „paprastas“ parametrų valdymas gali turėti tiesioginės įtakos duomenų vientisumas ir verslo logika.
Autentifikavimo apėjimas: „Blogger“ atvejis
Vienas iš labiausiai pagarsėjusių HTTP parametrų taršos išnaudojimo pavyzdžių įvyko tinklaraščių sistemoje. "Blogger"Parametrų tvarkymo pažeidžiamumas leido užpuolikams gauti prieigą prie tapti kitų žmonių tinklaraščių administratoriaistiesiog manipuliuojant POST užklausos parametrais.
Probleminė užklausa buvo maždaug tokia (sintaksės supaprastinimas):
POST /add-authors.do HTTP/1.1
security_token=attackertoken&blogID=attackerblogidvalue&blogID=victimblogidvalue&authorsList=attackermail%40gmail.com&ok=Pakviesti
Problema slypėjo tame, kad autentifikavimo ir saugumo patvirtinimo mechanizmas Aš kaip tik žiūrėjau į pirmasis parametras tinklaraščio ID kuris atkeliavo su užklausa, patvirtindamas, kad vartotojas turėjo teises į tą tinklaraštį. Tačiau tikroji operacija, kurią pridėjo kviestinis autorius, buvo atlikta naudojant antras tinklaraščio ID pasirodymas, kuris atitiko aukos tinklaraštį.
Dėl šio vidinio prieštaravimo serveris tvarkė pasikartojantys parametraiUžpuolikui pavyko pereiti savo tinklaraščio saugumo patikras, bet veiksmą jis įvykdė kitame tinklaraštyje. Rezultatas buvo visiškas autentifikavimo apėjimas su vienu gerai suformuluotu prašymu.
Šis atvejis labai gerai parodo, kaip HPP yra ne tik „techninis smalsumas“, bet ir technika su realus poveikis didelių paslaugų teikėjų sistemomsBe to, pabrėžiama saugumo patikrinimų ir operacijų vykdymo svarba naudojant tas pačias parametrų reikšmes, nesiremiant nekontroliuojama precedencija.
HPP ir žiniatinklio programų užkarda (WAF)
Daugelis organizacijų naudoja WAF kaip papildomą sluoksnį, kad apsaugotų savo žiniatinklio programas nuo žinomų atakų. Šios užkardos paprastai yra pagrįstos taisyklės ir parašai (reguliariosios išraiškos) kurie taikomi parametrams, antraštėms ir net HTTP užklausų turiniui.
Problema ta, kad esant pasikartojantiems parametrams, užpuolikas gali suskaidyti kenkėjišką naudingąją apkrovą į kelias to paties parametro reikšmesNors WAF analizuoja kiekvieną parametrą atskirai, gali būti, kad nė viena iš izoliuotų reikšmių neatitinka atakos parašų, todėl užklausa praeina filtrus nebūdama užblokuota.
Kai užklausa pasiekia žiniatinklio serverį, programų variklį arba patį serverį iš naujo surenka vertes pagal savo vidinę logiką (pavyzdžiui, sujungiant juos kableliais arba imant paskutinį), todėl gaunama eilutė, kuri kaip visuma sudaro ataką. Tokiu būdu ta pati parametrų taršos technika leidžia apeiti WAF, kurie nėra pritaikyti analizuoti sujungtų reikšmių rinkinio.
Be to, kai kurie WAF, kurie neveikia kaip atvirkštinis tarpinis serveris O tie, kurie neturi išsamaus vaizdo apie srautą tarp kliento ir serverio, o veikiau veikia kaip taškiniai filtrai, gali būti ypač pažeidžiami šių HPP apėjimų. Tie, kurie pagrįsti tokiomis technologijomis kaip „Apache“ su parametrų vertinimo ir statistinės analizės varikliu Jie linkę geriau elgtis susidūrę su tokio tipo metodais.
Trumpai tariant, HPP parodo, kad net ir tinkamai sukonfigūruotas WAF, Saugumas negarantuojamas Jei pati programa ir serverio logika netinkamai tvarko pasikartojančius parametrus, apsauga turi būti išsami ir atsižvelgti į tai, kaip užklausos apdorojamos visais lygmenimis.
Realūs atvejai, priemonės ir HPP paplitimas
Akademiniai tyrimai ir saugumo ekspertų darbas parodė, kad HTTP parametrų užterštumas toli gražu nėra retas reiškinys. Tokie projektai kaip PAPAS (Parametrinės taršos analizės sistema), kurias vadovavo tokie tyrėjai kaip Carmen Torrano, buvo sukurti būtent tam, kad automatiškai aptikti HPP pažeidžiamumus didelio masto žiniatinklio programose.
Eksperimentuose, atliktuose su daugiau nei 5000 labai populiarių svetainių (remiantis tokiais reitingais kaip „Alexa“) buvo pastebėta, kad beveik 30 % analizuotų svetainių Juose buvo bent vienas puslapis, pažeidžiamas HPP. Tai yra, buvo galima įterpti užkoduotą parametrą į kitą esamą puslapį ir patikrinti, ar jis atrodo dekoduotas gautame URL ar formoje.
Dar labiau stebina tai, kad netoli 47 % rastų pažeidžiamumų (tai atitinka maždaug 14 % visų svetainių) iš tikrųjų buvo išnaudojamasleidžiančios atakas, kurios neapsiribojo vien pateikimo trūkumais. Tarp paveiktų svetainių buvo Dideli vardai, tokie kaip „Microsoft“ ar „Google“Tai aiškiai rodo, kad net technologijų gigantai nėra apsaugoti nuo šių problemų.
Įrankiai kaip PAPAS Jie padėjo išanalizuoti ir kiekybiškai įvertinti problemą, tačiau taip pat pabrėžė sunkumus, su kuriais susiduriama automatiškai aptikti HPPDaugelis tradicinių žiniatinklio pažeidžiamumų skaitytuvų kruopščiai neatsižvelgia į pasikartojančių parametrų scenarijus arba generuoja labai daug klaidingai teigiamų rezultatų.
Be konkrečių sprendimų, tokių kaip BULVĖS, yra ir plėtinių, tokių kaip HPP ieškiklis, skirtas „Google Chrome“Šie įrankiai skirti aptikti galimus HPP atakų vektorius URL ir HTML formose. Nors jie gali padėti nustatyti įtartinus taškus (pavyzdžiui, formas, kurios pakartotinai naudoja parametrus be tinkamo patvirtinimo), jie nėra laikomi... nėra išsamus sprendimas ir nepakeičia išsamaus saugumo audito.
Kitas įrankis, plačiai naudojamas saugumo testavimo ekosistemoje, yra OWASP ZAPkuri apima plėtinius ir scenarijus, skirtus skirtingų vektorių, įskaitant susijusius su užklausos eilutės parametrais, testavimui. Tačiau konkrečiu HPP atveju vis tiek būtina derinti automatizuotus įrankius su rankinė programos srauto analizė ir supratimas.
HPP vidinėse paieškos sistemose ir tokiuose pavyzdžiuose kaip Apple.com
HPP buvo pastebėti ne tik tinklaraščių valdymo sistemose ar administravimo skyduose, jie taip pat rodomi iš pažiūros nekenksmingos funkcijos, tokios kaip žymų paieškos sistemos internetiniuose forumuose ir bendruomenėse. Ryškus pavyzdys buvo rastas „Apple“ forumai, kur užterštų etikečių ir parametrų valdymas parodė keistą elgesį.
Šiuose forumuose pasirinkus žymę sąsajoje, buvo pridėtas parametras tags URL užklausos eilutei buvo perduota pasirinktos žymės reikšmė. Galinė programa nuskaitė šią reikšmę, ieškojo temų su ta žyme ir parodė rezultatus vartotojui. Jei buvo pasirinktos kelios žymės, buvo pridėtos visos jos. tame pačiame žymų parametre, atskirti sudėties operatoriumi (+)taigi serveris buvo pasiruošęs apdoroti tą sąrašą.
Kai parametras „tags“ buvo užterštas keliomis pasikartojančiomis reikšmėmis, pastebėta, kad vidinės sistemos technologija sugeneravo kableliais atskirtas sąrašas (CSV) su visomis užterštų parametrų reikšmėmis. Programa sugebėjo iš dalies apdoroti tą sąrašą (atrasti skirtingas žymas), bet Ne visos etiketės buvo atspausdintos teisingai. paieškos sistemos teksto lauke.
Šiame konkrečiame kontekste neatrodė, kad būtų galima išnaudoti saugumo klaidą, tačiau buvo aišku, kad Buvo scenarijų, kurių kūrėjai neapsvarstėKituose, mažiau nekenksminguose taikymuose panašus elgesys gali sukelti neatitikimai tarp to, kas patvirtinama, kas naudojama ir kas rodoma vartotojui, su rimtesnėmis pasekmėmis.
Pagrindinių technologijų analizė tokiuose forumuose kaip „Apple“ (pavyzdžiui, Apache su J2EE serverio viduje) rodo, kad daugelis šiuolaikinių stekų elgiasi panašiai kaip serveriai, tokie kaip IIS, arba deriniai, tokie kaip Apache su Python, tvarkydami užterštus parametrus, generuodami kableliais atskirtus sąrašus ir deleguodami galutinį šių reikšmių apdorojimą programos logikai.
Šio tipo pavyzdžiai primena, kad Įprastais atvejais nepakanka vien to, kad „atrodytų veikiantis“.Turite sistemingai testuoti, kaip programa reaguoja, kai jai siunčiami pasikartojantys parametrai, keistai užkoduotos reikšmės, neįprasti deriniai ir pan., nes būtent čia HPP randa savo nišą.
HTTP parametrų taršos aptikimas ir mažinimas
HPP nustatymui ir mažinimui reikalingas hibridinis metodas, kuris apjungia gera saugaus kūrimo praktika, tinkama serverio konfigūracija ir specialių įrankių naudojimasNepakanka pasikliauti, kad WAF viską sutvarkys, nes, kaip matėme, dažnai būtent tas sluoksnis gali būti apgautas.
Kalbant apie programavimą, labai svarbu, kad Atminkite, kad parametras gali turėti kelias reikšmes ir jie turi aiškiai nuspręsti, kaip elgtis tokiu atveju. Jie neturėtų pasikliauti numatytąja kalba ar sistemos elgsena, neturėdami išsamaus supratimo, kaip veikia vertybių prioritetas.
Taip pat rekomenduojama kritiniais momentais, tokiais kaip autentifikavimas, autorizavimas, slaptos operacijos arba svarbūs būsenos pakeitimaiGriežtai patikrinama, ar parametrai rodomi tik vieną kartą, atmetant užklausas su pasikartojančiais parametrais arba bent jau jas registruojant analizei.
Kalbant apie infrastruktūrą, patartina peržiūrėti žiniatinklio serverio ir platformos konfigūracijos Norint tiksliai suprasti, kas nutinka, kai gaunamas pakartotas parametras: ar išsaugomas pirmasis, paskutinis, ar visi sujungti. Nuo to momento programos logiką galima koreguoti, kad būtų išvengta neatitikimų tarp patvirtinimo ir faktinio reikšmės naudojimo.
Kalbant apie įrankius, be įprastų pažeidžiamumų skaitytuvų, naudinga įtraukti tikslinius sprendimus, tokius kaip PAPAS arba plėtinių tipas HPP ieškiklis bandymo sraute. Jei naudojamas OWASP ZAP ar kiti skverbties testavimo įrankiai, verta sukurti specialius scenarijus, kurie generuoja užklausos su skirtingais būdais užkoduotais pasikartojančiais parametrais ir reikšmėmis stebėti programos reakciją.
Galiausiai svarbu pripažinti, kad HPP yra problema daug labiau paplitęs, nei paprastai manomaTai ypač aktualu didelėms, daugelį metų evoliucionavusioms programoms. Geriausias būdas kontroliuoti šias klaidas yra derinti mokymą, kodo peržiūrą, automatizuotą testavimą ir gerai suplanuotą rankinį testavimą.
HTTP parametrų užterštumas pelnytai užsitarnavo vietą tarp internetinių atakų metodų, kuriuos turėtų stebėti kiekviena kūrimo ir saugumo komanda: Tai nepastebima, sunku pastebėti vien žvilgtelėjus į rąstus ir gali turėti labai rimtų pasekmių. jei tai paveikia pagrindinius verslo logikos ar saugumo kontrolės parametrus. Suprasti, kaip pasikartojantys parametrai tvarkomi jūsų steke, ir aktyviai išbandyti šiuos scenarijus yra viena iš tų užduočių, kurios iš pradžių gali atrodyti šiek tiek varginančios, tačiau tai labai skiriasi tarp tiesiog veikiančios programos ir tokios, kuri yra tikrai atspari sudėtingoms atakoms.
Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.