Stefano Di Paola és Luca Carettoni egy érdekes koncepciót mutattak be nem rég Lenygelországban lezajlott OWASP EU09 konferencián. A HTTP Parameter Pollution-nek keresztelt technika lényegében azt használja ki, hogy a manapság elterjedt webes technológák és maguk a webkiszolgálók is igen eltérő módon kezelik a többszörösen definiált HTTP paramétereket, "a szokatlan viselkedés pedig a biztonsági gyengeségek megszokott forrása". Egy Apache kiszolgálón futó PHP szkript például mindig egy paraméter utoljára definiált értékét tekinti mérvadónak, míg egy IIS-en futó ASP.NET program összefűzi az azonos névvel illetett paramétereket. Mindez pedig a nem megfelelő bemenetellenőrzésekkel összeházasítva figyelemre méltó kombinációt alkothat.
Hogy mire is lehet jó a HPP:
Az alkalmazás-rétegbeli tűzfalak (pl. PHPIDS, Mod_Security) megkerülése viszonylag egyszerűen adódik, de - kellően ügyetlen megvalósítás esetén - a módszer segítségével akár egy webalkalmazás védett, "bedrótozott" változóihoz is hozzáférhetünk. Ez utóbbira a Google Search Appliance megoldásával kapcsolatban mutattak példát a kutók, a Yahoo! levelező szolgáltatásával kapcsolatban pedig a CSRF védelmet sikerült ilyen módon kijátszani.
Sajnos részletes információk a fenti támadásokról még nem érhetők el, de úgy tűnik, hogy ígéretes lehetőségek rejlenek ezekben a technikákban. Meg kell ugyanakkor jegyezni, hogy a jelek szerint, egy sikeress "szennyezés" kivitelezéséhez legtöbbször a célalkalmazás és a platform mélyreható ismerete szükséges, ami egyrészt kiadós agytornákat helyez kilátásba, másrészt várhatóan valamelyest visszafogja majd az ilyen módszert alkalmazó támadásokat. Ezen kívül ismét fontosnak tartom hangsúlyozni, hogy jól láthatóan ebben az esetben sem a Szent Grál megkaparintásáról van szó, a HPP is csak meggondolatlan programozói megoldásokból tud táplálkozni. Más kérdés, hogy hány kódernek lesz kedve és lehetősége végiggondolni, hogy - az adott esetben platformfüggetlenre tervezett - programsorok, hogyan fognak reagálni az egyes protokollrétegek által összekuszált, kódolt és dekódolt paraméterekre a rendelkezésre álló platformok széles skáláján.