HTTP Parameter Pollution


Por todos es conocido que los servidores web son uno de mayores objetivos de los ataques de hoy en día. El dinero y los datos accesibles a través de los portales web, con la finalidad de ofrecer un servicio, una vez más, se ven afectados por una nueva amenaza, un nuevo tipo de ataque.





En concreto, esta nueva técnica ha sido expuesta durante la conferencia OWASP Appsec Poland 2009 por parte de los expertos en seguridad Stefano Di Paola y Luca Carettoni y ha llegado en modo de correo a los suscritos a Bugtraq.

¿En qué consiste el ataque?
Pues una vez más (como sucede con un SQL Injection o una inyección de comandos) en la reacción que tiene el servidor web ante la manipulación de algún parámetro o cabecera en una aplicación web.

En este caso, consiste en la interpretación que tiene un servidor web cuando se repite el nombre de un parámetro dentro de la misma petición. Un ejemplo:

http://www.miaplicacion.com/index.asp&variable1=val1&variable2=val2

En este caso, cada variable recibiría su valor correcto por parte del servidor web y todo OK.

Sin embargo, supongamos que http://www.miaplicacion.com/index.asp&variable1=val1&variable1=val2

¿Qué valor tendría variable1 esta vez? Pues la respuesta es: depende del servidor web que lo interprete. Unos servidores asignarán el val1 y otros asignarán val2. En otros casos como IIS, su mecanismo interno los concatenará.

Por ejemplo, IIS se sabe que los concatena separándolos por comas. Apache solamente se queda con el primer valor que recibe un parámetro desechando el resto.

El impacto de este comportamiento por parte de los servidores Web puede ser enorme a la hora de procesar los argumentos, y puede dar lugar a múltiples posibilidades como sobreescritura de parámetros HTTP definidos por la aplicación en la URI, alteración del comportamiento de la aplicación, acceso y modificación de variables,... etc

Algo muy interesante es que aquellas empresas que como medidas preventivas de protección de sus aplicaciones web tengan un WAF (Web Application Firewall), que les permita sanitizar la entrada de las peticiones entrantes, tampoco estarán protegidas del todo.

En líneas generales, los Firewalls de Aplicaciones Web analizan las peticiones web basándose en firmas generalmente. Estas firmas son expresiones regulares que enfrentan contra las peticiones (los parámetros, las cabeceras, incluso el cuerpo de la página, etc...) de manera que, como si de un antivirus se tratara, si alguna de las "cadenas" coincide con la petición, la misma es bloqueada. Ahora bien, aprovechando esta nueva línea de ataque, es posible encapsular en la misma variable (repetida varias veces con diferente valor) un ataque, que si fuera en una sola variable, sería fácilmente detectada y bloqueada por cualquier WAF. De esta manera, al analizar cada parámetro, no se delimitaría como algo maliciosa la petición y sin embargo, al ser reensamblada e interpretada por el servidor web, sí que podría ser un riesgo en la seguridad de la aplicación.

Aquellos WAFs que no estén basados en tecnología de reverse proxy (proxy inverso) permitirán ser bypasseados ante este tipo de ataque.

La presentación completa puede ser descargada aquí así como vista en Slideshare. Su lectura es altamente recomendable.

Fuente:
Publicado por Lorenzo Martínez
http://www.securitybydefault.com/



Otras noticias de interés:

Adolescentes comparten claves de internet sin conciencia de los riesgos
En un grupo de 80 estudiantes secundarios, 79 reconocieron que compartieron sus claves con amigos y entre los universitarios el 70% reconoció también haber pasado su password a otra persona...
Ejecución remota de código en varios reproductores multimedia
Se ha encontrado una vulnerabilidad en el codec 3ivx (3ivx.dll), usado por múltiples reproductores de archivos multimedia para visualizar archivos MPEG-4. ...
Tipos de Ataques que puede sufrir un computador
El método más directo de ataque es la conexión a nuestro ordenador tal y como nosotros nos conectamos a los ordenadores que nos ofrecen servicios. Esta vía, sin embargo, por ser fácilmente detectable y necesitar de información previa (los servi...
Falla en Windows XP que atenta contra la privacidad!!
¿Hasta que punto puede considerarse un riesgo a la seguridad esta falla de Windows XP?. Recientemente ha sido publicado un exploit que afecta a Windows XP, incluso en la versión SP1....
Cibercriminales se roban unos a otros
Los cibercriminales no sólo están siendo cada vez más sofisticados y creativos en su trabajo, sino que mantienen las URL maliciosas, los ataques de spam y los resultados de búsqueda falsos como sus técnicas más habituales....
Hawkins lanza el primer ordenador que imita el proceso de pensamiento.
Funciona como el neocortex cerebral y permite a una máquina interpretar datos sensoriales: El afamado informático Jeff Hawkins acaba de lanzar una tecnología computacional llamada NuPIC que permite a los ordenadores aprender, reconocer imágenes, ...
Microsoft no demandará a GNU/Linux, por el momento
Microsoft ha querido dejar bien claro, después del revuelo que se ha montado con la comunidad Linux por el asunto de las patentes, que la compañía no tiene planes de entrar en litigios....
Chrome OS, opción hacia la nube
El cofundador de Google, Sergey Brin, ha declarado que Windows y otros sistemas operativos tradicionales están torturando a los usuarios. Unas declaraciones que ha realizado durante el lanzamiento de Chrome OS, un evento en el que afirmó que el 75 ...
La inseguridad andando
El 60 por ciento de la pérdidas de datos tienen que ver con robos de PC portables, señala un fabricante del sector. Los teléfonos inteligentes son postulados como más seguros por quienes los ofrecen; soluciones para proteger el escenario móvil. ...
Listo a jugar!!! World of Warcraft en Linux.
Las buenas noticias son que World of Warcraft (WoW) está completamente soportado por Transgaming. Puede ser que necesites un poco de ayuda con los remiendos y demás, en este sentido el foro de Transgaming es un gran recurso inmejorable. puedes enco...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • http
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • parameter
  • pgp
  • php
  • pollution
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra