Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

HTTP paraméter szennyezés

2009.05.19. 20:00 | buherator | Szólj hozzá!

Stefano Di Paola és Luca Carettoni egy érdekes koncepciót mutattak be nem rég Lenygelországban lezajlott OWASP EU09 konferencián. A HTTP Parameter Pollution-nek keresztelt technika lényegében azt használja ki, hogy a manapság elterjedt webes technológák és maguk a webkiszolgálók is igen eltérő módon kezelik a többszörösen definiált HTTP paramétereket, "a szokatlan viselkedés pedig a biztonsági gyengeségek megszokott forrása". Egy Apache kiszolgálón futó PHP szkript például mindig egy paraméter utoljára definiált értékét tekinti mérvadónak, míg egy IIS-en futó ASP.NET program összefűzi az azonos névvel illetett paramétereket. Mindez pedig a nem megfelelő bemenetellenőrzésekkel összeházasítva figyelemre méltó kombinációt alkothat.

Hogy mire is lehet jó a HPP:

Az alkalmazás-rétegbeli tűzfalak (pl. PHPIDS, Mod_Security) megkerülése viszonylag egyszerűen adódik, de - kellően ügyetlen megvalósítás esetén - a módszer segítségével akár egy webalkalmazás védett, "bedrótozott" változóihoz is hozzáférhetünk. Ez utóbbira a Google Search Appliance megoldásával kapcsolatban mutattak példát a kutók, a Yahoo! levelező szolgáltatásával  kapcsolatban pedig a CSRF védelmet sikerült ilyen módon kijátszani.

Sajnos részletes információk a fenti támadásokról még nem érhetők el, de úgy tűnik, hogy ígéretes lehetőségek rejlenek ezekben a technikákban. Meg kell ugyanakkor jegyezni, hogy a jelek szerint, egy sikeress "szennyezés" kivitelezéséhez legtöbbször a célalkalmazás és a platform mélyreható ismerete szükséges, ami egyrészt kiadós agytornákat helyez kilátásba, másrészt várhatóan valamelyest visszafogja majd az ilyen módszert alkalmazó támadásokat.  Ezen kívül ismét fontosnak tartom hangsúlyozni, hogy jól láthatóan ebben az esetben sem a Szent Grál megkaparintásáról van szó, a HPP is csak meggondolatlan programozói megoldásokból tud táplálkozni. Más kérdés, hogy hány kódernek lesz kedve és lehetősége végiggondolni, hogy - az adott esetben platformfüggetlenre tervezett - programsorok, hogyan fognak reagálni az egyes protokollrétegek által összekuszált, kódolt és dekódolt paraméterekre a rendelkezésre álló platformok széles skáláján.

Címkék: hpp owasp eu09

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.