Parameter Pollution

{% hint style="success" %} AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

{% endhint %}

{% embed url="https://websec.nl/" %}

HTTP Parameter Pollution (HPP) Genel Bakış

HTTP Parameter Pollution (HPP), saldırganların HTTP parametrelerini manipüle ederek bir web uygulamasının davranışını beklenmedik şekillerde değiştirdiği bir tekniktir. Bu manipülasyon, HTTP parametrelerini ekleyerek, değiştirerek veya çoğaltarak yapılır. Bu manipülasyonların etkisi kullanıcıya doğrudan görünmez, ancak uygulamanın sunucu tarafındaki işlevselliğini önemli ölçüde değiştirebilir ve istemci tarafında gözlemlenebilir etkiler yaratabilir.

HTTP Parameter Pollution (HPP) Örneği

Bir bankacılık uygulaması işlem URL'si:

Orijinal URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000

Ek bir from parametresi ekleyerek:

Manipüle Edilmiş URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC

İşlem, accountA yerine yanlışlıkla accountC'ye tahsil edilebilir ve bu, HPP'nin işlemleri veya şifre sıfırlama, 2FA ayarları veya API anahtarı talepleri gibi diğer işlevleri manipüle etme potansiyelini göstermektedir.

Teknolojiye Özgü Parametre Ayrıştırma

Parametrelerin nasıl ayrıştırıldığı ve önceliklendirildiği, temel web teknolojisine bağlıdır ve HPP'nin nasıl istismar edilebileceğini etkiler.
Wappalyzer gibi araçlar, bu teknolojileri ve ayrıştırma davranışlarını tanımlamaya yardımcı olur.

PHP ve HPP İstismarı

OTP Manipülasyonu Durumu:

Bağlam: Tek Seferlik Şifre (OTP) gerektiren bir giriş mekanizması istismar edildi.
Yöntem: Burp Suite gibi araçlar kullanarak OTP talebini kesen saldırganlar, HTTP isteğindeki email parametresini çoğalttı.
Sonuç: İlk e-posta için tasarlanan OTP, manipüle edilmiş istekte belirtilen ikinci e-posta adresine gönderildi. Bu hata, amaçlanan güvenlik önlemini aşarak yetkisiz erişime izin verdi.

Bu senaryo, uygulamanın arka ucundaki kritik bir gözden geçirmeyi vurgular; ilk email parametresi OTP üretimi için işlenirken, teslimat için sonuncusu kullanılmıştır.

API Anahtarı Manipülasyonu Durumu:

Senaryo: Bir uygulama, kullanıcıların profil ayarları sayfası aracılığıyla API anahtarlarını güncellemelerine izin verir.
Saldırı Vektörü: Bir saldırgan, POST isteğine ek bir api_key parametresi ekleyerek API anahtarı güncelleme işlevinin sonucunu manipüle edebileceğini keşfeder.
Teknik: Burp Suite gibi bir araç kullanarak, saldırgan bir geçerli ve bir kötü niyetli api_key parametresi içeren bir istek hazırlar. Sunucu, yalnızca sonuncusunu işleyerek, API anahtarını saldırganın sağladığı değere günceller.
Sonuç: Saldırgan, mağdurun API işlevselliği üzerinde kontrol kazanır ve muhtemelen özel verilere yetkisiz erişim veya değişiklik yapabilir.

Bu örnek, özellikle API anahtarı yönetimi gibi kritik özelliklerde güvenli parametre işlemenin gerekliliğini daha da vurgular.

Parametre Ayrıştırma: Flask vs. PHP

Web teknolojilerinin yinelenen HTTP parametrelerini ele alma şekli, HPP saldırılarına karşı duyarlılıklarını etkiler:

Flask: Bir sorgu dizesinde a=1&a=2 gibi karşılaştığı ilk parametre değerini benimser, ilk örneği sonraki yinelenenlerden öncelikli kılar.
PHP (Apache HTTP Sunucusunda): Aksine, son parametre değerini önceliklendirir ve verilen örnekte a=2 seçilir. Bu davranış, saldırganın manipüle ettiği parametreyi orijinalin üzerinde tutarak HPP istismarlarını istemeden kolaylaştırabilir.