Parsi Coders
HTTP Parameter Pollution - نسخه قابل چاپ

+- Parsi Coders (http://parsicoders.com)
+-- انجمن: Security and influence (http://parsicoders.com/forumdisplay.php?fid=59)
+--- انجمن: Influence (http://parsicoders.com/forumdisplay.php?fid=61)
+---- انجمن: LEARNING HACKING (http://parsicoders.com/forumdisplay.php?fid=125)
+---- موضوع: HTTP Parameter Pollution (/showthread.php?tid=2131)



HTTP Parameter Pollution - nimaarek - 04-20-2012

HTTP Parameter Pollution یا به انحصار HPP و یک یک کلاس آسیب پذیری تزریق (injection class) است کاملا "آسیب پذیری " است و خیلی هم میتونه خطرناک باشه .
این روش برای اولین بار توسط یکی از نخبه های امنیت وب یعنی Stefano diPaola در کنفرانس OWASP در سال 2009 ارائه شد و اولین مقاله ای که در این راستا نوشته شد رو میتونید در لینک زیر مشاهده کنید
کد:
https://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf
ببنید ساده ترین نوع این حمله ارسال چند پارامتر یکی با مقدار (value) متفاوت است
مثلا فرض کنید :
کد:
http://site.com/1.php?name=shahin&do=submit
این یک حالت عادی از درخواست http است حالا فرض رو بر این می زاریم که این سایت آسیب پذیره نسبت به HPP
پس ما اینطوری میتونیم طزریق کنیم:
کد:
http://site.com/1.php?name=shahin&do=submit&name=hossein
این باعث میشه که رفتار برنامه تغییر کنه و مثلا submit مقدار رو با تغییر hossein کنه.
نکته بعدی همانطور که اول اسمش مشخصه HTTP پس یعنی میتونه هم شامل POST و باقی متود ها هم باشه.
نکته ی بعدی که باید اشاره کنم HPP هم میتونه server side و هم client side اتفاق بیفته . نوع کلاینت سایت شبیه DOM Injection و شما با دستکاری پارامتر های سمت مشتری سعی بر رسیدن به
هدفتون میکنیم (میتونه مثلا تزریق اسکرپیت باشه) و نوع سرور ساید کاملا بستگی به منطق برنامه تحت وبی که استفاده میشه . نوع سرور ساید میتونه برای انواع اقسام حملات از جمله دسترسی به دیتابیس یا ... و حتی دور زدن
انواع WAF (trueend5) اشاره کرد و حتی دور زدن token های CSRF استفاده بشه. یه تعداد بحث در مورد خودکار سازی شناسایی این روش توسط iseclab انجام شده که به صورت یک مقاله هم ارائه شد.
کد:
http://www.iseclab.org/people/embyte/papers/hpp.pdf
برای اینکه این آسیب پذیری رو به صورت عملی تست کنی میتونی ابزار acunetix هم تا حدی قابلیت تشخیص این آسیب پذیری را دارد اما وقتی منطق در کار باشد بهترین راه کشف این نوع آسیب پذیری استفاده از یک پروکسی میانی است

برای اینکه بیشتر و عمیق تر این مطلب درک کنی برای اینجا یه تعداد منابع رو قرار میدم.
کد:
http://www.acunetix.com/blog/whitepaper-http-parameter-pollution/
http://blog.iseclab.org/2010/12/08/http-parameter-pollution-so-how-many-flawed-applications-exist-out-there-we-go-online-with-a-new-service/
http://blog.mindedsecurity.com/2009/05/client-side-http-parameter-pollution.html
http://www.nirgoldshlager.com/2011/03/blogger-get-administrator-privilege-on.html
http://www.andlabs.org/whitepapers/Split_and_Join.pdf



RE: HTTP Parameter Pollution - Oep - 04-20-2012

منبع : تیم امنیتی سیمرغ

حسین و شاهین از بچه های اونجاست


RE: HTTP Parameter Pollution - nimaarek - 04-20-2012

تایید میشه !
من منبع رو اینجا ذکر کرده بودم !
http://parsicoders.com/showthread.php?tid=2130&pid=5842#pid5842