Загрязнение параметров HTTP

Загрязнение параметров HTTP ( HPP ) — это веб-приложений, уязвимость которая используется путем внедрения закодированных строк запроса разделителей в уже существующие параметры . Уязвимость возникает, если пользовательский ввод неправильно кодируется для вывода веб-приложения. ^[1] Эта уязвимость позволяет внедрять параметры в URL-адреса, созданные веб-приложениями. Впервые он был представлен публике в 2009 году Стефано ди Паолой и Лукой Кареттони на конференции OWASP EU09 Польша. ^[1] Последствия такой уязвимости варьируются от «простого раздражения» до полного нарушения запланированного поведения веб-приложения. Переопределение параметров HTTP для изменения поведения веб-приложения, обход контрольных точек ввода и проверки доступа, а также другие косвенные уязвимости являются возможными последствиями атаки HPP. ^[1]

Не существует стандарта RFC о том, что следует делать, если передано несколько параметров. HPP можно использовать для межканального загрязнения, в обход защиты CSRF и WAF . проверок входных данных ^[2]

Поведение

Когда им передаются несколько параметров с одним и тем же именем, вот как ведут себя различные серверные части. ^[3]

Поведение, когда параметру «param» передаются значения «val1» и «val2»
Технология	Результат парсинга	Пример
ASP.NET/IIS	Все вхождения, объединенные запятой	параметр=значение1,значение2
АСП/IIS	Все вхождения, объединенные запятой	параметр=значение1,значение2
PHP/Апач	Только последнее появление	параметр=значение2
PHP/Зевс	Только последнее появление	параметр=значение2
JSP, сервлет/Apache Tomcat	Только первое появление	параметр=значение1
JSP, сервер приложений сервлетов/Oracle	Только первое появление	параметр=значение1
JSP, сервлет/причал	Только первое появление	параметр=значение1
IBM Лотус Домино	Только последнее появление	параметр=значение2
HTTP-сервер IBM	Только первое появление	параметр=значение1
mod_perl, libapreq2/Apache	Только первое появление	параметр=значение1
Perl CGI/Apache	Только первое появление	параметр=значение1
mod_wsgi (Python)/Apache	Только первое появление	параметр=значение1
Питон/Зопе	Все вхождения в список (массив)	параметр=['val1','val2']

Типы

Клиентская сторона

Первый заказ / Отраженная ГЭС ^[4]
Второй порядок/Сохраненная ГЭС ^[4]
Третий порядок / ДОМ ГЭС ^[4]

Серверная часть

Стандартная ГЭС ^[4]
ГЭС второго порядка ^[4]

Профилактика

Правильная проверка входных данных и осведомленность о веб-технологиях HPP — это защита от загрязнения параметров HTTP. ^[5]

См. также

Ссылки

^ Jump up to: ^а ^б ^с Бальдуцци и др. 2011 , с. 2.
^ «Уязвимости загрязнения параметров HTTP в веб-приложениях» (PDF) . 2011.
^ «WSTG — Последние новости: тестирование на загрязнение параметров HTTP» .
^ Jump up to: ^а ^б ^с ^д ^и Лука Кареттони; Стефано Ди Паола. «Загрязнение параметров HTTP» (PDF) .
^ «Как обнаружить атаки с загрязнением параметров HTTP» .

Библиография

Бальдуцци, Марко; Торрано-Хименес, Кармен; Бальзаротти, Давиде; Кирда, Энгин (2011). Автоматическое обнаружение уязвимостей загрязнения параметров в веб-приложениях . Материалы симпозиума по безопасности сетей и распределенных систем, NDSS 2011 – через ResearchGate .

Эта со Всемирной паутиной статья, связанная , незавершена . Вы можете помочь Википедии, расширив ее .

[FOOTNOTEBalduzziTorrano-GimenezCarmenKirda20112-1] Jump up to: ^а ^б ^с Бальдуцци и др. 2011 , с. 2.

[2] «Уязвимости загрязнения параметров HTTP в веб-приложениях» (PDF) . 2011.

[owasp_hpp-3] «WSTG — Последние новости: тестирование на загрязнение параметров HTTP» .

[owasp_hpp_paper-4] Jump up to: ^а ^б ^с ^д ^и Лука Кареттони; Стефано Ди Паола. «Загрязнение параметров HTTP» (PDF) .

[5] «Как обнаружить атаки с загрязнением параметров HTTP» .

[1]

[2]

[3]

[4]

[5]