Parameter Pollution

{% hint style="success" %} Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

{% endhint %}

{% embed url="https://websec.nl/" %}

HTTP Parameter Pollution (HPP) Oorsig

HTTP Parameter Pollution (HPP) is 'n tegniek waar aanvallers HTTP parameters manipuleer om die gedrag van 'n webtoepassing op onvoorsiene maniere te verander. Hierdie manipulering word gedoen deur HTTP parameters by te voeg, te wysig of te dupliceer. Die effek van hierdie manipulering is nie direk sigbaar vir die gebruiker nie, maar kan die toepassing se funksionaliteit aan die bedienerkant aansienlik verander, met waarneembare impakte aan die kliëntkant.

Voorbeeld van HTTP Parameter Pollution (HPP)

'n Banktoepassing transaksie URL:

Oorspronklike URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000

Deur 'n addisionele from parameter in te voeg:

Gemanipeerde URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC

Die transaksie mag verkeerdelik aan accountC in plaas van accountA gehef word, wat die potensiaal van HPP om transaksies of ander funksies soos wagwoordherstel, 2FA instellings, of API sleutel versoeke te manipuleer, toon.

Tegnologie-Spesifieke Parameter Parsing

Die manier waarop parameters geparseer en geprioritiseer word, hang af van die onderliggende webtegnologie, wat beïnvloed hoe HPP uitgebuit kan word.
Gereedskap soos Wappalyzer help om hierdie tegnologieë en hul parsing gedrag te identifiseer.

PHP en HPP Exploitatie

OTP Manipulasie Geval:

Konteks: 'n Inlogmeganisme wat 'n Eenmalige Wagwoord (OTP) vereis, is uitgebuit.
Metode: Deur die OTP versoek te onderskep met behulp van gereedskap soos Burp Suite, het aanvallers die email parameter in die HTTP versoek gedupliceer.
Uitslag: Die OTP, bedoel vir die oorspronklike e-pos, is in plaas daarvan na die tweede e-posadres in die gemanipeerde versoek gestuur. Hierdie fout het ongeoorloofde toegang moontlik gemaak deur die beoogde sekuriteitsmaatreël te omseil.

Hierdie scenario beklemtoon 'n kritieke oorsig in die toepassing se agterkant, wat die eerste email parameter vir OTP generasie verwerk het, maar die laaste vir aflewering gebruik het.

API Sleutel Manipulasie Geval:

Scenario: 'n Toepassing laat gebruikers toe om hul API sleutel deur 'n profielinstellingsbladsy op te dateer.
Aanval Vektor: 'n Aanvaller ontdek dat deur 'n addisionele api_key parameter aan die POST versoek toe te voeg, hulle die uitkoms van die API sleutel opdateringsfunksie kan manipuleer.
Tegniek: Deur 'n gereedskap soos Burp Suite te gebruik, skep die aanvaller 'n versoek wat twee api_key parameters insluit: een wettig en een kwaadwillig. Die bediener, wat slegs die laaste voorkoms verwerk, werk die API sleutel na die aanvaller se verskafde waarde op.
Resultaat: Die aanvaller verkry beheer oor die slagoffer se API funksionaliteit, wat moontlik toegang tot of wysiging van private data ongeoorloofde kan maak.

Hierdie voorbeeld beklemtoon verder die noodsaaklikheid van veilige parameter hantering, veral in funksies so krities soos API sleutel bestuur.

Parameter Parsing: Flask vs. PHP

Die manier waarop webtegnologieë duplikaat HTTP parameters hanteer, verskil, wat hul vatbaarheid vir HPP aanvalle beïnvloed:

Flask: Neem die eerste parameter waarde wat teëgekom word, soos a=1 in 'n query string a=1&a=2, en prioritiseer die aanvanklike instansie bo daaropvolgende duplikate.
PHP (op Apache HTTP Server): Daarenteen prioritiseer die laaste parameter waarde, en kies vir a=2 in die gegewe voorbeeld. Hierdie gedrag kan onbedoeld HPP exploits fasiliteer deur die aanvaller se gemanipeerde parameter bo die oorspronklike te eerbiedig.