HTTP Parametre Kirlenmesi nedir ve neden gerçek bir risktir?

Web uygulaması güvenliğinden bahsettiğimizde, birçok insanın aklına sadece şu gelir: SQL Enjeksiyonu, XSS veya kimlik doğrulama hatalarıAncak yıllardır birçok denetimde fark edilmeden kalan oldukça sessiz bir teknik var: HTTP parametre kirlenmesi veya bulaşması olarak bilinen yöntem. HTTP Parametre Kirliliği (HPP) o HTTP Parametre Kirlenmesi.

Bu tür güvenlik açıkları, farklı sunucu teknolojilerinin ve çerçevelerinin nasıl yönetildiğinden yararlanır. Aynı HTTP isteğinde yinelenen parametrelerUygulama buna hazır değilse, bir saldırgan iç mantığı değiştirebilir, doğrulamaları atlayabilir, web uygulama güvenlik duvarlarını (WAF'ler) kandırabilir ve hatta kimlik doğrulama veya izin yönetimi gibi kritik işlevlerin kontrolünü ele geçirebilir.

HTTP parametreleri ve öncelik kavramı

Günümüzdeki neredeyse her web sitesinde kullanıcılar veri gönderimini şu yollarla gerçekleştirir: URL'de veya istek gövdesinde yer alan HTTP parametreleriBu parametreler, tarayıcının uygulamaya bilgi iletmesini sağlar: aramalar, form verileri, anket tercihleri, yorumlar, giriş bilgileri vb.

Tipik bir GET isteğinde, bu veriler şu şekilde iletilir: Sorgu dizesi (URL'deki "?" işaretinden sonra gelen her şey)Anahtar/değer çiftleri, ampersand (&) sembolüyle ayrılır. Bir POST isteğinde, bunlar istek gövdesinde de olabilir, ancak sunucudaki uygulama mantığı genellikle bunları birbirine çok benzer şekilde ele alır: bir veya daha fazla ilişkili değere sahip anahtarlar.

Birçok programlama dili ve çerçevesi, her ikisini de elde etmek için yöntemler sunar. bir parametrenin tek bir değeri Örneğin, bir parametre tekrar tekrar görünüyorsa, değerlerin tam listesi gibi. Bu durum, örneğin, aşağıdaki durumlarda yaygındır: birden fazla seçime izin veren onay kutularıBurada aynı parametre adı birkaç kez geçmektedir.

Sorun, geliştiricinin şu varsayımda bulunmasıyla ortaya çıkar: Her parametre için yalnızca bir değer olacaktır. ve tek bir değer döndüren fonksiyonlar kullanırken, tarayıcı (veya saldırgan) aynı isimle birden fazla değer gönderir. Bu noktada önemli bir kavram devreye giriyor: değerlerin önceliği.

Kullanılan dile, çerçeveye ve web sunucusuna bağlı olarak, aynı parametrenin birden fazla kez kullanılması çeşitli davranışlara yol açabilir: örneğin, alınan ilk değeronun aldığı son değer veya üretilen tümünün birleşimi (örneğin, virgüllerle birleştirilmiş)Tek bir standart olmadığı için her teknoloji yığını farklı davranabilir ve bu da çok tehlikeli durumlara yol açabilir.

Bir fonksiyonun yalnızca tek bir değer döndürmesi kendi başına bir güvenlik açığı değildir, ancak başka güvenlik açıkları olduğunda durum değişir. Parametreler yineleniyor ve geliştirici bunun farkında değil. Öncelik sırasının nasıl işlediğine bağlı olarak, uygulama beklenmedik bir değer elde edebilir. Bu anormal davranış, tekniklerin tam olarak kullandığı şeydir. HTTP Parametre Kirliliği.

HTTP Parametre Kirliliği (HPP) nedir?

HTTP parametre kirliliği, şu unsurlardan oluşan bir tekniktir: Ek parametreler veya sorgu dizesi sınırlayıcıları ekleyin. (Kodlanmış) diğer mevcut parametreler içinde yer alır. Enjekte edilen bu parametre kod çözüldüğünde ve yeni bir URL oluşturmak veya başka bir istek oluşturmak için yeniden kullanıldığında, uygulama Bu durum, geliştiricinin beklemediği ek parametreleri de içermesine yol açıyor..

Başka bir deyişle, HPP, uygulamanın çalışma biçiminden faydalanır. URL'leri yeniden oluşturur, formları işler ve tekrarlanan parametreleri yönetir.Giriş verileri düzgün bir şekilde doğrulanmazsa, saldırgan uygulamayı beklenen değerlerden farklı değerleri yorumlamaya veya bağlantılara, formlara ve yönlendirmelere ek parametreler eklemeye zorlayabilir.

HPP teknikleri kamuoyuna şu kişiler tarafından tanıtıldı: Stefano Di Paola ve Luca Carettoni OWASP AppSec 2009 konferansında sunuldular. O zamandan beri belgelendiler. birçok saldırı senaryosuAncak bugün bile diğer, daha iyi bilinen güvenlik açıkları kadar görünürlüğe sahip değiller ve tüm otomatik araçlar tarafından tam olarak kapsanmıyorlar.

HTTP Parametre Kirliliği saldırısının etkisi büyük ölçüde şunlara bağlıdır: uygulamanın özel mantığıÇerçeve ve web sunucusunun yapısından kaynaklanır. Bazı durumlarda sonuçlar önemsizdir (sunum hataları, etiket yazdırma hataları vb.), ancak diğer durumlarda ciddi sonuçlar doğurabilir. Kimlik doğrulama atlatma, izinlerin değiştirilmesi veya kritik işlemlerin manipülasyonu.

HPP güvenlik açığının gerçekten istismar edilebilir olması için, sunucu veya çerçeve parametre okuma mekanizmasının şu şekilde olması gerekir: Beklenen değerden farklı bir değer döndürmek Aynı parametrelerle karşılaştığında, saldırgan bu önceliği manipüle ederek uygulama akışını kendi lehine yönlendirebilir.

Sunucular yinelenen parametreleri nasıl ele alıyor?

Hidroelektrik santrallerini mümkün kılan temel teknik unsur, farklı bileşenlerin eşitsiz davranışında yatmaktadır. web sunucuları ve arka uç dilleri Tekrarlanan parametreler işlenirken, herkes aynı şeyi yapmaz ve bu çeşitlilik, saldırganların güvenlik açıklarını bulmasına olanak tanır.

Bazı ortamlarda, şu türde bir URL gönderirsek... değişken1=değer1&değişken1=değer2Sunucu yalnızca şunları saklayacaktır: ilk değer (val1). Diğerlerinde, şu kadar zaman alacaktır: alınan son değer (val2). Ve bazı durumlarda, belirli konfigürasyonlarda olduğu gibi IISİki değer şunlardır: dahili olarak bir listeye birleştirmekÖrneğin, virgüllerle ayrılmış olarak verilen bu bilgiler, uygulamanın daha sonra yorumlaması gerekecektir.

Sıklıkla verilen bir örnek şudur: Apache Varsayılan davranışında, genellikle bir parametrenin ilk değerini saklar ve sonrakileri atar; diğer teknolojiler ise bir değer üretir. CSV (Virgülle Ayrılmış Değerler) listesi Kirlenmiş parametrenin tüm değerleriyle birlikte. Eğer arka uç uygulaması yalnızca bu durumlardan birine uyarlanmışsa, kontrolsüz senaryolar beklenmedik etkilere neden olabilir.

Yinelenen parametrelerin bu şekilde ele alınması yalnızca kullanıcıya görünen mantığı değil, aynı zamanda iç güvenlik kontrolleri, giriş doğrulayıcıları, kimlik doğrulama ve yetkilendirme rutinleriAynı parametre, uygulamanın bir noktasında bir değer kullanılarak kontrol edilebilir ve başka bir noktasında farklı bir değer kullanılarak kullanılabilir; bunların hepsi aynı istek içinde gerçekleşir.

Ayrıca, HPP'ler aşağıdaki avantajlardan yararlanmak için kullanılabilir: içsel karakter dönüşümleri Bu, sunucunun kendisinin yaptığı bir işlemdir. Örneğin, bazı sunucuların işlem sırasında belirli karakterleri (örneğin "]" karakterinin "_" ile değiştirilmesi gibi) nasıl değiştirdiği belgelenmiştir ve bu, şu amaçlarla kullanılabilir: Düzenli ifadeler kullanarak filtreleme kurallarını veya WAF yazılımlarını atlatmak.

Hidroelektrik santrallerinin sonuçları ve kullanım senaryoları

HTTP parametre kirliliği teknikleri, hem sunucu hem de istemci tarafında oldukça geniş bir yelpazede risk durumu oluşturmaya olanak tanır. Bu risklerin ciddiyeti, kullanılan yöntemlere bağlıdır. Etkilenen parametrenin fonksiyonu ve uygulama akışındaki nokta Bu durumda, bu durum değiştirilir.

Güvenlik açığı bulunan uygulamalarda gözlemlenen en dikkat çekici sonuçlardan bazıları şunlardır: korumalı parametrelerin üzerine yazılmasıSaldırgan, kritik bir parametreye birden fazla değer ekleyebilir ve söz konusu ortamdaki öncelik mekanizması sayesinde uygulamanın tam olarak kötü niyetli değeri kullanmasını sağlayabilir.

Hidroelektrik santrallerinin buna izin vermesi de yaygın bir uygulamadır. uygulamanın beklenen davranışının değiştirilmesiÖrneğin, dahili arama motorlarındaki filtreleri değiştirerek, kaynak tanımlayıcılarını değiştirerek, oylama işlemlerini manipüle ederek veya iş mantığını kontrol eden parametreleri (yönetici bayrakları, hata ayıklama modları veya işlem durumları gibi) değiştirerek.

Bir diğer önemli sonuç ise şudur: girdi doğrulamalarından kaçınmaGüvenlik doğrulama kodu bir parametrenin ilk geçtiği yeri incelerken, asıl işlem daha sonraki bir geçişle gerçekleştiriliyorsa, saldırgan görünüşte iyi uygulanmış güvenlik kontrollerini atlatabilir. Bu durum şu vakalarda görülmüştür: kimlik doğrulama ve erişim kontrolü atlatma.

Daha karmaşık bağlamlarda, HPP tetikleyebilir. Dahili uygulama hataları, hassas bilgilerin ifşa edilmesi, amaçlanan kapsamın dışında değişkenlere erişim Hatta bir araya getirildiğinde, bir WAF'ın her parametreyi ayrı ayrı analiz ederken tespit edemediği yükleri oluşturan birleşik parametrelerin kullanımı bile söz konusudur.

Etki açısından bakıldığında, her iki taraftan da saldırılar gözlemlenmiştir. sunucu tarafı (WAF'ı atlatma, URL yeniden yazmayı değiştirme, farklı dahili rotaları zorlama) istemci tarafı (Özel olarak manipüle edilmiş URL'ler aracılığıyla kurbanları aldatmak için bağlantılara ve formlara parametreler eklenmesi).

Bir oylama uygulamasında HPP'nin klasik bir örneği

HTTP Parametre Kirliliği saldırısının nasıl çalıştığını daha iyi anlamak için, aşağıdaki örneğe bakalım: JSP ile yazılmış oylama web uygulamasıKullanıcıların farklı seçimlerde favori adaylarına oy vermelerine olanak tanınan bir yer.

Uygulama, bir parametre aracılığıyla bilgi alır. seçim_kimliği Mevcut seçimin tanımlayıcısı. Bu değerle sunucu, her biri oy verme bağlantısı içeren mevcut adayları listeleyen bir sayfa oluşturur. Yöntem İstek.getParameter("pair") JSP'de, aynı parametre için birden fazla değer mevcut olduğunda, her zaman aynı değerden birini döndürür. ilk değer.

Şöyle bir URL hayal edelim: http://servidor/eleccion.jsp?eleccion_id=4568Oluşturulan sayfada her aday için oy verme bağlantısı görüntülenir, örneğin:

1 bağlantısıBen Bay White'a oy veriyorum.
2 bağlantısıBayan Green'e oy veriyorum.

Diyelim ki, belirli bir adayı destekleyen kötü niyetli bir kullanıcı, uygulamanın bunu yapmadığını fark ediyor. choice_id parametresini başarıyla doğrular.HPP'deki bir güvenlik açığından yararlanarak parametreyi enjekte etmeye karar veriyor. aday Bu choice_id içinde, sorgu dizesi sınırlayıcılarını kodlayarak.

Oluşturduğu URL şöyle bir şey olabilir: http://servidor/eleccion.jsp?eleccion_id=4568%26candidato%3DgreenSaldırganın "&" sembolünü %26, "=" işaretini ise %3D olarak kodladığını ve bu nedenle kod çözüldükten sonra election_id değeri içine yerleştirilmiş yeni bir aday parametre haline geldiğini unutmayın.

Kurban, manipüle edilmiş URL'ye tıkladığında, görünüşte doğru seçime erişiyor. Ancak, uygulama oylama bağlantılarını oluşturmak için election_id değerini kullandığından, enjekte edilen değeri çözmek... Sonuç olarak, elde edilen sorgu dizesine fazladan bir aday eklenmiş oluyor..

Sonuç olarak, dahili olarak oluşturulan bağlantılar şu şekilde bir hal alır:

1 bağlantısıBen Bay White'a oy veriyorum.
2 bağlantısıBayan Green'e oy veriyorum.

Kurbanın hangi bağlantıya tıkladığı önemli değil: senaryo aynı. voting.jsp sayfası her zaman aday parametresinin iki örneğini alır.Burada ilk değer yeşildir. Geliştirici, tek bir değer elde etmek için standart Java işlevselliğini kullandığından, aday parametresinin yalnızca ilk değerini alır ve kullanıcının gerçek oyunu yakalayacak olan ikinci değeri atar.

Bu davranış sayesinde, HPP güvenlik açığı saldırgana olanak tanır. O sayfada kullanılan tüm oyların kendi adaylarına gitmesini sağlamaya zorlaBu durum, mağdurun arayüzdeki tercihlerinden bağımsızdır. Bu, sözde "basit" bir parametre yönetiminin doğrudan nasıl bir etkiye sahip olabileceğinin çok açık bir örneğidir. veri bütünlüğü ve iş mantığı.

Kimlik doğrulama atlatma: Blogger vakası

HTTP Parametre Kirliliği istismarının en kötü şöhretli örneklerinden biri, blog sisteminde yaşanmıştır. BloggerParametre işlemedeki bir güvenlik açığı, saldırganların erişim sağlamasına olanak tanıdı. başkalarının bloglarının yöneticisi olmakSadece bir POST isteğinin parametrelerini değiştirerek.

Sorunlu istek, sözdizimini basitleştirerek, aşağı yukarı şöyleydi:

POST /add-authors.do HTTP/1.1
Security_token=attackertoken&blogID=attackerblogidvalue&blogID=victimblogidvalue&authorsList=attackermail%40gmail.com&ok=Davet Et

Sorun şuydu ki... kimlik doğrulama ve güvenlik doğrulama mekanizması Tam şuna bakıyordum... ilk parametre blogID Gelen istekte, kullanıcının söz konusu blog üzerinde yetkiye sahip olduğu doğrulandı. Ancak, konuk yazarın eklediği asıl işlem, şu yöntem kullanılarak gerçekleştirildi: blogID'nin ikinci oluşumuBu da mağdurun bloguna karşılık geliyordu.

Bu içsel çelişki sayesinde, sunucunun ele alma şekli... aynı parametrelerSaldırgan kendi blogu için yapılan güvenlik kontrollerini geçmeyi başardı ancak eylemi diğer blogda gerçekleştirdi. Sonuç şu oldu: kimlik doğrulama atlama işlemini tamamen atlatma Tek bir iyi hazırlanmış taleple.

Bu örnek, HPP'nin sadece "teknik bir merak konusu" olmadığını, aynı zamanda nasıl bir teknik olduğunu çok iyi göstermektedir. büyük sağlayıcıların sistemleri üzerindeki gerçek etkilerAyrıca, kontrolsüz öncelik sıralamasına bağlı kalmadan, güvenlik kontrollerinin ve işlemlerin tam olarak aynı parametre değerleri kullanılarak yürütülmesinin önemini vurgulamaktadır.

HPP ve Web Uygulama Güvenlik Duvarı (WAF)

Birçok kuruluş, web uygulamalarını bilinen saldırılardan korumak için ek bir katman olarak WAF'a (Web Uygulama Güvenlik Duvarı) güvenmektedir. Bu güvenlik duvarları tipik olarak şunlara dayanmaktadır: kurallar ve imzalar (düzenli ifadeler) HTTP isteklerinin parametrelerine, başlıklarına ve hatta gövdesine uygulanan yöntemler.

Sorun şu ki, yinelenen parametrelerin varlığında, bir saldırgan şunları yapabilir: Zararlı bir yükü aynı parametrenin birden fazla değerine parçalamakWAF her parametreyi ayrı ayrı analiz etse de, izole edilen değerlerden hiçbirinin saldırı imzalarıyla eşleşmemesi mümkündür; bu nedenle istek filtrelerden engellenmeden geçer.

Bu istek web sunucusuna, uygulama motoruna veya sunucunun kendisine ulaştığında... değerleri kendi iç mantığına göre yeniden bir araya getirir. (örneğin, bunları virgüllerle birleştirerek veya sonuncusunu alarak), sonuç olarak bir bütün olarak saldırıyı oluşturan bir dize elde edilir. Bu şekilde, aynı parametre kirliliği tekniği, Birleştirilmiş değerler kümesini analiz etme yeteneğine sahip olmayan WAF'ları atlayın..

Ek olarak, düzgün çalışmayan bazı WAF'lar da mevcuttur. ters proxy İstemci ve sunucu arasındaki akışın tamamına hakim olmayan, bunun yerine nokta filtreleri gibi davranan sistemler, bu HPP atlatma yöntemlerine karşı özellikle savunmasız olabilirler. Örneğin, şu gibi teknolojilere dayalı sistemler: Parametre puanlama ve istatistiksel analiz motoruna sahip Apache Bu tür teknikler karşısında daha iyi davranma eğilimindedirler.

Özetle, HPP, düzgün yapılandırılmış bir WAF'a sahip olsanız bile, Güvenlik garanti edilmez. Uygulama ve sunucu mantığı yinelenen parametreleri yanlış ele alıyorsa, koruma kapsamlı olmalı ve isteklerin her seviyede nasıl işlendiğini dikkate almalıdır.

HPP'nin gerçek vakaları, araçları ve yaygınlığı

Akademik araştırmalar ve güvenlik uzmanlarının çalışmaları, HTTP Parametre Kirliliğinin hiç de nadir olmadığını göstermiştir. Örneğin, şu projeler: PAPAS (Parametre Kirlilik Analiz Sistemi)Carmen Torrano gibi araştırmacılar tarafından yönlendirilen bu cihazlar, tam olarak şu amaçla tasarlanmıştı: HPP güvenlik açıklarını otomatik olarak tespit et Büyük ölçekli web uygulamalarında.

100'den fazla kişi üzerinde gerçekleştirilen deneylerde 5000 son derece popüler web sitesi (Alexa gibi sıralamalara göre) neredeyse Analiz edilen yerlerin %30'u Bu sayfalardan en az biri HPP açığına karşı savunmasızdı. Yani, mevcut bir parametreye kodlanmış bir parametre eklemek ve bunun sonucunda ortaya çıkan bir URL veya formda çözülmüş olarak göründüğünü doğrulamak mümkündü.

Daha da çarpıcı olanı ise, yakınında Bulunan güvenlik açıklarının %47'si (Toplam sitelerin yaklaşık %14'üne denk gelen) gerçekten sömürülebilirBu durum, basit sunum hatalarının ötesine geçen saldırılara olanak sağladı. Etkilenen siteler arasında şunlar yer alıyordu: Microsoft veya Google gibi büyük isimlerBu durum, teknoloji devlerinin bile bu sorunlardan muaf olmadığını açıkça ortaya koyuyor.

Gibi araçlar BABALAR Sorunu analiz etmeye ve nicelleştirmeye hizmet ettiler, ancak aynı zamanda zorluğunu da vurguladılar. HPP'yi otomatik olarak algılaBirçok geleneksel web güvenlik açığı tarayıcısı, yinelenen parametre senaryolarını yeterince dikkate almaz veya çok yüksek oranda yanlış pozitif sonuç üretir.

POTATOES gibi özel çözümlere ek olarak, aşağıdaki gibi uzantılar da mevcuttur: Google Chrome için HPP FinderBu araçlar, URL'lerde ve HTML formlarında potansiyel HPP saldırı vektörlerini tespit etmek için tasarlanmıştır. Şüpheli noktaları (örneğin, uygun doğrulama yapılmadan parametreleri yeniden kullanan formlar) belirlemeye yardımcı olsalar da, bir güvenlik önlemi teşkil etmezler. Bu, eksiksiz bir çözüm veya kapsamlı bir güvenlik denetiminin yerini tutacak bir şey değildir..

Güvenlik test ekosisteminde yaygın olarak kullanılan bir diğer araç ise şudur: OWASP ZAP'ıBu, sorgu dizesindeki parametrelerle ilgili olanlar da dahil olmak üzere farklı vektörleri test etmek için uzantılar ve komut dosyaları içerir. Bununla birlikte, HPP'nin özel durumunda, otomatik araçları birleştirmek hala gereklidir. Uygulama akışının manuel analizi ve anlaşılması.

HPP'nin dahili arama motorlarındaki uygulamaları ve Apple.com gibi örnekler.

HPP'ler yalnızca blog yönetim sistemlerinde veya yönetim panellerinde gözlemlenmekle kalmamış, aynı zamanda şu alanlarda da ortaya çıkmıştır: etiket arama motorları gibi görünüşte zararsız işlevler Çevrimiçi forumlarda ve topluluklarda. Çarpıcı bir örnek şurada bulundu: Apple forumlarıBurada, kirlenmiş etiketlerin ve parametrelerin yönetimi ilginç davranışlar sergiledi.

Bu forumlarda, arayüzde bir etiket seçmek bir parametre ekliyordu. etiketler URL'deki sorgu dizesine seçilen etiketin değeri iletildi. Arka uç uygulaması bu değeri aldı, bu etikete sahip konuları aradı ve sonuçları kullanıcıya gösterdi. Birden fazla etiket seçilirse, bunların tümü eklendi. Aynı etiketler parametresinde, toplama operatörü (+) ile ayrılmış olarak.Bu nedenle arka uç, bu listeyi işlemeye hazırdı.

Etiketler parametresi birden fazla yinelenen değerle kirletildiğinde, arka uç teknolojisinin bir hata ürettiği gözlemlendi. virgülle ayrılmış liste (CSV) dosyasında tüm kirlenmiş parametre değerleri yer alıyor. Uygulama bu listeyi kısmen işleyebildi (farklı etiketleri keşfetti), ancak Etiketlerin hepsini doğru şekilde yazdırmadı. Arama motoru metin alanında.

Bu özel bağlamda, istismar edilebilir bir güvenlik açığı görünmüyordu, ancak şu da açıktı ki... Geliştiriciler tarafından dikkate alınmayan senaryolar vardı.Diğer, daha az masum uygulamalarda, benzer davranışlar şunlara yol açabilir: Doğrulanan, kullanılan ve kullanıcıya gösterilenler arasındaki tutarsızlıklarDaha ciddi sonuçlarla birlikte.

Apple gibi forumlarda (örneğin, Arka uçta J2EE kullanan ApacheBu, birçok modern yığının, kirlenmiş parametreleri işlerken, virgülle ayrılmış listeler oluştururken ve bu değerlerin nihai işlenmesini uygulama mantığına devrederken, IIS gibi sunuculara veya Apache ile Python gibi kombinasyonlara benzer şekilde davrandığını göstermektedir.

Bu tür örnekler, şunu hatırlatmak amacıyla verilmiştir: Normal şartlarda "çalışıyor gibi görünmesi" yeterli değildir.HPP'nin asıl uzmanlık alanı burası olduğundan, uygulamaya yinelenen parametreler, garip kodlanmış değerler, alışılmadık kombinasyonlar vb. gönderildiğinde uygulamanın nasıl tepki verdiğini sistematik olarak test etmeniz gerekiyor.

HTTP Parametre Kirliliğinin Tespiti ve Azaltılması

HPP'yi tespit etmek ve azaltmak, hibrit bir yaklaşım gerektirir; bu yaklaşım şunları birleştirir: İyi ve güvenli geliştirme uygulamaları, doğru sunucu yapılandırması ve belirli araçların kullanımıHer şeyi düzeltmek için yalnızca WAF'a güvenmek yeterli değildir, çünkü gördüğümüz gibi, çoğu zaman yanıltıcı olabilen katman tam olarak bu katmandır.

Gelişim açısından bakıldığında, programcıların bu konuda yetkin olmaları şarttır. Bir parametrenin birden fazla değere sahip olabileceğini unutmayın. Ve bu durumu nasıl ele alacaklarına açıkça karar vermeleri gerekiyor. Değer önceliğinin nasıl işlediğini iyice anlamadan varsayılan dil veya çerçeve davranışlarına güvenmemelidirler.

Ayrıca, aşağıdaki gibi kritik noktalarda da aşağıdaki hususların dikkate alınması önerilir: kimlik doğrulama, yetkilendirme, hassas işlemler veya önemli durum değişiklikleriParametrelerin yalnızca bir kez kullanılması kesinlikle doğrulanır; yinelenen parametreler içeren istekler reddedilir veya en azından analiz için kaydedilir.

Altyapı konusunda, aşağıdaki hususların gözden geçirilmesi tavsiye edilir. web sunucusu ve çerçeve yapılandırmaları Tekrarlanan bir parametre alındığında tam olarak ne olduğunu anlamak için: ilk parametrenin mi, son parametrenin mi yoksa bunların tümünün birleştirilmiş halinin mi saklandığı belirlenebilir. Buradan hareketle, doğrulama ile değerin gerçek kullanımı arasındaki tutarsızlıkları önlemek için uygulama mantığı ayarlanabilir.

Araçlar açısından, alışılagelmiş güvenlik açığı tarayıcılarına ek olarak, aşağıdaki gibi hedefli çözümleri de dahil etmek faydalı olacaktır: BABALAR veya uzantı türü HPP Bulucu Test akışında. OWASP ZAP veya diğer sızma testi araçları kullanılıyorsa, test akışında sonuç üretecek özel komut dosyaları tasarlamak faydalı olacaktır. Farklı şekillerde kodlanmış, yinelenen parametrelere ve değerlere sahip istekler Uygulamanın tepkisini gözlemlemek için.

Son olarak, HPP'nin bir sorun olduğunu kabul etmek önemlidir. Genellikle düşünüldüğünden çok daha yaygınBu durum, özellikle uzun yıllar süren evrime sahip büyük uygulamalar için geçerlidir. Eğitim, kod incelemesi, otomatik test ve iyi tasarlanmış manuel testin birleştirilmesi, bu hataları kontrol altında tutmanın en iyi yoludur.

HTTP parametre bulaşması, herhangi bir geliştirme ve güvenlik ekibinin radarında olması gereken web saldırı teknikleri arasında haklı olarak yerini almıştır: Bu durum oldukça gizlidir, kayıtlara şöyle bir bakıldığında fark edilmesi zordur ve çok ciddi sonuçlar doğurabilir. İş mantığının veya güvenlik kontrollerinin temel parametrelerini etkiliyorsa, bu durum önemlidir. Yığınınızda yinelenen parametrelerin nasıl ele alındığını anlamak ve bu senaryoları aktif olarak test etmek, ilk başta biraz zahmetli gibi görünse de, yalnızca işlevsel bir uygulama ile gelişmiş saldırılara karşı gerçekten sağlam bir uygulama arasındaki farkı yaratır.