6.5 KiB
Inquinamento dei parametri
Impara l'hacking di AWS da zero a esperto con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR ai repository HackTricks e HackTricks Cloud su GitHub.
Panoramica dell'Inquinamento dei Parametri HTTP (HPP)
L'Inquinamento dei Parametri HTTP (HPP) è una tecnica in cui gli attaccanti manipolano i parametri HTTP per modificare il comportamento di un'applicazione web in modi non intenzionali. Questa manipolazione avviene aggiungendo, modificando o duplicando i parametri HTTP. Gli effetti di queste manipolazioni non sono direttamente visibili all'utente, ma possono alterare significativamente la funzionalità dell'applicazione sul lato server, con impatti osservabili sul lato client.
Esempio di Inquinamento dei Parametri HTTP (HPP)
Un URL di transazione di un'applicazione bancaria:
- URL originale:
https://www.victim.com/send/?from=accountA&to=accountB&amount=10000
Inserendo un parametro from
aggiuntivo:
- URL manipolato:
https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC
La transazione potrebbe essere erroneamente addebitata a accountC
invece di accountA
, mostrando il potenziale dell'HPP nel manipolare transazioni o altre funzionalità come il reset della password, le impostazioni di autenticazione a due fattori o le richieste di chiave API.
Analisi dei Parametri Specifici della Tecnologia
- Il modo in cui i parametri vengono analizzati e prioritizzati dipende dalla tecnologia web sottostante, influenzando la possibilità di sfruttare l'HPP.
- Strumenti come Wappalyzer aiutano a identificare queste tecnologie e i loro comportamenti di analisi.
Sfruttamento di PHP e HPP
Caso di Manipolazione OTP:
- Contesto: Un meccanismo di accesso che richiede una One-Time Password (OTP) è stato sfruttato.
- Metodo: Intercettando la richiesta OTP utilizzando strumenti come Burp Suite, gli attaccanti hanno duplicato il parametro
email
nella richiesta HTTP. - Risultato: L'OTP, destinato all'email iniziale, è invece stato inviato al secondo indirizzo email specificato nella richiesta manipolata. Questa falla ha consentito l'accesso non autorizzato aggirando la misura di sicurezza prevista.
Questo scenario evidenzia una grave mancanza nell'infrastruttura dell'applicazione, che ha elaborato il primo parametro email
per la generazione dell'OTP ma ha utilizzato l'ultimo per la consegna.
Caso di Manipolazione della Chiave API:
- Scenario: Un'applicazione consente agli utenti di aggiornare la propria chiave API tramite una pagina delle impostazioni del profilo.
- Vettore di attacco: Un attaccante scopre che aggiungendo un parametro
api_key
aggiuntivo alla richiesta POST, può manipolare l'esito della funzione di aggiornamento della chiave API. - Tecnica: Utilizzando uno strumento come Burp Suite, l'attaccante crea una richiesta che include due parametri
api_key
: uno legittimo e uno malevolo. Il server, elaborando solo l'ultima occorrenza, aggiorna la chiave API al valore fornito dall'attaccante. - Risultato: L'attaccante ottiene il controllo sulla funzionalità API della vittima, potenzialmente accedendo o modificando dati privati in modo non autorizzato.
Questo esempio sottolinea ulteriormente la necessità di una gestione sicura dei parametri, soprattutto in funzionalità critiche come la gestione delle chiavi API.
Analisi dei Parametri: Flask vs PHP
Il modo in cui le tecnologie web gestiscono i parametri HTTP duplicati varia, influenzando la loro suscettibilità agli attacchi HPP:
- Flask: Adotta il valore del primo parametro incontrato, ad esempio
a=1
in una stringa di querya=1&a=2
, dando priorità all'istanza iniziale rispetto ai duplicati successivi. - PHP (su Apache HTTP Server): Al contrario, dà priorità all'ultimo valore del parametro, optando per
a=2
nell'esempio dato. Questo comportamento può facilitare involontariamente gli attacchi HPP, onorando il parametro manipolato dell'attaccante rispetto all'originale.
Riferimenti
- https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654
- https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution
Impara l'hacking di AWS da zero a esperto con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF Controlla i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @carlospolopm.
- Condividi i tuoi trucchi di hacking inviando PR ai repository HackTricks e HackTricks Cloud su GitHub.