jueves, 21 de julio de 2011

HPC: HTTP Parameter Contamination

Saludos,

Estos días ha estado rulando por la red un pequeño paper (firmado por RSnake, j0rgan y lightos) llamado "HTTP Parameter Contamination", en el que exponen sus investigaciones sobre la intoxicación de los parámetros enviados al servidor (peticiones GET, POST...). La semilla de todo esto fue otra presentación en 2009 que trataba también de malformar los parámetros enviados, en este caso haciendo que, por ejemplo, se enviasen dos variables con el mismo nombre pero distinto valor ( /index.php?var1=A&var1=B ). Al tratarse de algo inesperado los servidores manejan esta situación de distintas formas (algunos dejan la variable con el primer valor asignado, otras con el segundo, o las concatenaban).


Este primer paper ( que linkearé al final de este post) llamaba a la técnica de setear una misma variable dos veces "HPP, HTTP Parameter Polluting", y de ella se podían extraer dos posibles vertientes de trabajo. Por un lado implícitamente el hecho de que en cada servidor ante esta técnica la respuesta era diferente implica su posible utilización para realizar fingerprinting. Por el otro lado también habría una nueva puerta para el bypass de WAFs (por ejemplo, en el caso en el que se producía concatenación se podría aprovechar ésta para realizar inyecciones SQL).


La "nueva" técnica (HPC) intoxica los parámetros malformando las variables (y sus valores asignados) con caracteres reservados, provocando igualmente respuestas /in/esperadas por parte del servidor. Nuevamente estas respuestas han sido recogidas en una tabla, permitiendo la identificación de un servidor a través del tipo de respuesta que obtengamos al malformar la petición (dicho cuadro, junto con el obtenido al aplicar HPP aparecen en los respectivos papers que están más abajo). Además al igual que el anterior caso también permite el bypass de WAFs.


[1] HTTP Parameter Pollution

[2] HTTP Parameter Contamination
5 0verl0ad Labs: HPC: HTTP Parameter Contamination Saludos, Estos días ha estado rulando por la red un pequeño paper (firmado por RSnake, j0rgan y lightos) llamado "HTTP Parameter Co...
< >