HTTP Parameter Pollution


Por todos es conocido que los servidores web son uno de mayores objetivos de los ataques de hoy en día. El dinero y los datos accesibles a través de los portales web, con la finalidad de ofrecer un servicio, una vez más, se ven afectados por una nueva amenaza, un nuevo tipo de ataque.





En concreto, esta nueva técnica ha sido expuesta durante la conferencia OWASP Appsec Poland 2009 por parte de los expertos en seguridad Stefano Di Paola y Luca Carettoni y ha llegado en modo de correo a los suscritos a Bugtraq.

¿En qué consiste el ataque?
Pues una vez más (como sucede con un SQL Injection o una inyección de comandos) en la reacción que tiene el servidor web ante la manipulación de algún parámetro o cabecera en una aplicación web.

En este caso, consiste en la interpretación que tiene un servidor web cuando se repite el nombre de un parámetro dentro de la misma petición. Un ejemplo:

http://www.miaplicacion.com/index.asp&variable1=val1&variable2=val2

En este caso, cada variable recibiría su valor correcto por parte del servidor web y todo OK.

Sin embargo, supongamos que http://www.miaplicacion.com/index.asp&variable1=val1&variable1=val2

¿Qué valor tendría variable1 esta vez? Pues la respuesta es: depende del servidor web que lo interprete. Unos servidores asignarán el val1 y otros asignarán val2. En otros casos como IIS, su mecanismo interno los concatenará.

Por ejemplo, IIS se sabe que los concatena separándolos por comas. Apache solamente se queda con el primer valor que recibe un parámetro desechando el resto.

El impacto de este comportamiento por parte de los servidores Web puede ser enorme a la hora de procesar los argumentos, y puede dar lugar a múltiples posibilidades como sobreescritura de parámetros HTTP definidos por la aplicación en la URI, alteración del comportamiento de la aplicación, acceso y modificación de variables,... etc

Algo muy interesante es que aquellas empresas que como medidas preventivas de protección de sus aplicaciones web tengan un WAF (Web Application Firewall), que les permita sanitizar la entrada de las peticiones entrantes, tampoco estarán protegidas del todo.

En líneas generales, los Firewalls de Aplicaciones Web analizan las peticiones web basándose en firmas generalmente. Estas firmas son expresiones regulares que enfrentan contra las peticiones (los parámetros, las cabeceras, incluso el cuerpo de la página, etc...) de manera que, como si de un antivirus se tratara, si alguna de las "cadenas" coincide con la petición, la misma es bloqueada. Ahora bien, aprovechando esta nueva línea de ataque, es posible encapsular en la misma variable (repetida varias veces con diferente valor) un ataque, que si fuera en una sola variable, sería fácilmente detectada y bloqueada por cualquier WAF. De esta manera, al analizar cada parámetro, no se delimitaría como algo maliciosa la petición y sin embargo, al ser reensamblada e interpretada por el servidor web, sí que podría ser un riesgo en la seguridad de la aplicación.

Aquellos WAFs que no estén basados en tecnología de reverse proxy (proxy inverso) permitirán ser bypasseados ante este tipo de ataque.

La presentación completa puede ser descargada aquí así como vista en Slideshare. Su lectura es altamente recomendable.

Fuente:
Publicado por Lorenzo Martínez
http://www.securitybydefault.com/



Otras noticias de interés:

Fallo de seguridad criptográfico en #Ruby
Hace 3 años, se descubrió un gravísimo error en la implementación de OpenSSL de Debian que limitaba dramáticamente la entropía de las claves calculadas. Ahora, los programadores de Ruby han cometido un fallo muy similar que han calificado de ho...
Lorentz, la próxima actualización de Firefox, podría ser pequeña
Mozilla no se toma ningún descanso en estas fechas, y su equipo todavía está trabajando para definir finalmente el mapa de ruta de este año....
IE9 un navegador moderno?
Un estudio realizado por Firefox pone a prueba las últimas características y estándares incluidos en Internet Explorer 9 y Firefox 4. La conclusión, según este estudio, el navegador de código libre es mucho más compatible con HTML 5 que el des...
Los consejos de seguridad del hacker más famoso
Nada parece broma cuando lo cuenta el hacker norteamericano Kevin Mitnick. Que alguien entre en nuestro ordenador, husmee en nuestra vida privada o nos llene el equipo de virus es una amenaza real que conoce de primera mano, pues lo hizo con frec...
Microsoft ofrecerá su lenjuaje M bajo licencia OSP
Microsoft ha decidido abrir su próximo lenguaje de modelado de aplicaciones M a través del sistema de licencias Open Specification Promise (OSP) de la compañía. M es parte de la plataforma Oslo para el modelado de software y está orientada a la ...
Evento GNU/ Linux en Maracaibo - Venezuela
Bajo el rótulo de El Evento Linux de Venezuela, del 14 al 15 de octubre del presente año se desarrollará en la ciudad de Maracaibo este evento que persigue la congregación de diferentes miradas para fomentar el Conocimiento y Uso del Sistema Op...
Nuevas técnicas de clickjacking en Black Hat
En el marco de la conferencia de seguridad Black Hat, un investigador ha presentado una nueva herramienta basada en browser que puede ser utilizada para experimentar con ataques de “clickjacking” de próxima generación. ...
Adobe corrige una vulnerabilidad crítica en Adobe Download Manager.
Esta vulnerabilidad, que afectaba a Adobe Download Manager en sistemas operativos Windows hasta el día 23 de febrero, podría permitir a un atacante descargar e instalar un programa cualquiera en el sistema operativo del usuario....
El ranking de Virus en el mes de julio de 2002
El Kletz sigue siendo el Virus más reportado. Aún cuando hay otros que le pisan los talones. Entra y lee la estadistica de Ranking....
Exploit remoto para vulnerabilidad de Microsoft Windows 2000 Plug and Play (MS05-039)
Exploit para vulnerabilidad MS05-039...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • http
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • parameter
  • pgp
  • php
  • pollution
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra