HTTP Parameter Pollution


Por todos es conocido que los servidores web son uno de mayores objetivos de los ataques de hoy en día. El dinero y los datos accesibles a través de los portales web, con la finalidad de ofrecer un servicio, una vez más, se ven afectados por una nueva amenaza, un nuevo tipo de ataque.





En concreto, esta nueva técnica ha sido expuesta durante la conferencia OWASP Appsec Poland 2009 por parte de los expertos en seguridad Stefano Di Paola y Luca Carettoni y ha llegado en modo de correo a los suscritos a Bugtraq.

¿En qué consiste el ataque?
Pues una vez más (como sucede con un SQL Injection o una inyección de comandos) en la reacción que tiene el servidor web ante la manipulación de algún parámetro o cabecera en una aplicación web.

En este caso, consiste en la interpretación que tiene un servidor web cuando se repite el nombre de un parámetro dentro de la misma petición. Un ejemplo:

http://www.miaplicacion.com/index.asp&variable1=val1&variable2=val2

En este caso, cada variable recibiría su valor correcto por parte del servidor web y todo OK.

Sin embargo, supongamos que http://www.miaplicacion.com/index.asp&variable1=val1&variable1=val2

¿Qué valor tendría variable1 esta vez? Pues la respuesta es: depende del servidor web que lo interprete. Unos servidores asignarán el val1 y otros asignarán val2. En otros casos como IIS, su mecanismo interno los concatenará.

Por ejemplo, IIS se sabe que los concatena separándolos por comas. Apache solamente se queda con el primer valor que recibe un parámetro desechando el resto.

El impacto de este comportamiento por parte de los servidores Web puede ser enorme a la hora de procesar los argumentos, y puede dar lugar a múltiples posibilidades como sobreescritura de parámetros HTTP definidos por la aplicación en la URI, alteración del comportamiento de la aplicación, acceso y modificación de variables,... etc

Algo muy interesante es que aquellas empresas que como medidas preventivas de protección de sus aplicaciones web tengan un WAF (Web Application Firewall), que les permita sanitizar la entrada de las peticiones entrantes, tampoco estarán protegidas del todo.

En líneas generales, los Firewalls de Aplicaciones Web analizan las peticiones web basándose en firmas generalmente. Estas firmas son expresiones regulares que enfrentan contra las peticiones (los parámetros, las cabeceras, incluso el cuerpo de la página, etc...) de manera que, como si de un antivirus se tratara, si alguna de las "cadenas" coincide con la petición, la misma es bloqueada. Ahora bien, aprovechando esta nueva línea de ataque, es posible encapsular en la misma variable (repetida varias veces con diferente valor) un ataque, que si fuera en una sola variable, sería fácilmente detectada y bloqueada por cualquier WAF. De esta manera, al analizar cada parámetro, no se delimitaría como algo maliciosa la petición y sin embargo, al ser reensamblada e interpretada por el servidor web, sí que podría ser un riesgo en la seguridad de la aplicación.

Aquellos WAFs que no estén basados en tecnología de reverse proxy (proxy inverso) permitirán ser bypasseados ante este tipo de ataque.

La presentación completa puede ser descargada aquí así como vista en Slideshare. Su lectura es altamente recomendable.

Fuente:
Publicado por Lorenzo Martínez
http://www.securitybydefault.com/



Otras noticias de interés:

Nueva versión del "Klez" ahora conocida como "Klez.h"
El conocido virus Klez ha mutado y ahora se lo conoce como Klez.h. Esta diseñado para enviarse no solo a la libreta de direcciones sino a cualquier otra que se encuentre en el equipo. ...
Girigat, el ataque del monstruo de 63 cabezas
Win32.Girigat.4937 es el nombre con el que se conoce a la nueva amenaza vírica para las plataformas Windows de 32 bits (Win9x/WinNT/WinCE). El virus, distribuido recientemente por su propio autor, Mister Sandman, a diversas compañías antivirus, ha...
UE presenta una guía para mejorar la seguridad en los contratos cloud
La Agencia Europea de Seguridad de la Información (ENISA) busca ayudar a las empresas y los gobiernos a conocer mejor los criterios y los requisitos existentes en los contratos de servicios en la nube. ...
Vulnerabilidades en servidores Apple QuickTime/Darwin Streaming 4.1.x
Se han identificado múltiples vulnerabilidades en el servidor de streaming Darwin que pueden permitir a un atacante provocar denegaciones de servicio o el acceso a información sensible. ...
Google parchea Chrome 11 de 27 vulnerabilidades
Google ha lanzado la versión estable de Chrome 11, en la que parchea 27 vulnerabilidades. El nuevo navegador está disponible para Windows, Mac y Linux....
Microsoft cubrió ayer varias vulnerabilidades críticas en IE y DirectShow
En su actualización de seguridad de todos los meses (Patch Tuesday), ayer Microsoft emitió 10 boletines de seguridad para cubrir 34 vulnerabilidades diferentes en sus productos. Entre ellas se incluían agujeros crítico sen DirectShow y en el nave...
El control de Internet podría pasar a manos privadas
Expertos internacionales se reúnen para debatir la gestión de la Red, al acercarse el día de vencimiento del acuerdo entre ICANN y el Departamento de Comercio de EEUU....
Nueva versión Ubuntu Tweak 0.3.1
Se ha lanzado una nueva versión del fantástico Ubuntu Tweak, la 0.3.1. Esta vez han sido rápidos ya que hace justamente una semana se liberó la versión 0.3....
Primera Charla del año de Velug-Maracay en el IUTAR de Maracay
El día de hoy confirmaron desde la sede principal del Instituto Universitario de Tecnología Antonio Ricaurte (IUTAR) la charla a efectuarse este Sábado 29 de Enero en las Instalaciones ubicadas en la redoma de la Plaza San Juan de la 19 de Abril ...
Sistemas y cualidades (otra visión)
La semana pasada, DoN nos comentaba su opinión acerca de los distintos sistemas operativos citados por uno de nuestros lectores, a raíz de las polémicas declaraciones de Theo de Raadt acerca de la calidad del núcleo ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • http
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • parameter
  • pgp
  • php
  • pollution
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra