hacktricks/pentesting-web/parameter-pollution.md

6.4 KiB

Parameter Pollution

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}

{% embed url="https://websec.nl/" %}

Muhtasari wa HTTP Parameter Pollution (HPP)

HTTP Parameter Pollution (HPP) ni mbinu ambapo washambuliaji wanabadilisha vigezo vya HTTP ili kubadilisha tabia ya programu ya wavuti kwa njia zisizokusudiwa. Mabadiliko haya yanafanywa kwa kuongeza, kubadilisha, au kuiga vigezo vya HTTP. Athari za mabadiliko haya hazionekani moja kwa moja kwa mtumiaji lakini zinaweza kubadilisha kwa kiasi kikubwa utendaji wa programu upande wa seva, huku zikiwa na athari zinazoweza kuonekana upande wa mteja.

Mfano wa HTTP Parameter Pollution (HPP)

URL ya muamala wa programu ya benki:

  • URL ya awali: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000

Kwa kuingiza vigezo vya ziada from:

  • URL iliyobadilishwa: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC

Muamala unaweza kuchajiwa kwa makosa kwa accountC badala ya accountA, ikionyesha uwezo wa HPP kubadilisha miamala au kazi nyingine kama vile kurekebisha nywila, mipangilio ya 2FA, au maombi ya funguo za API.

Uchambuzi wa Vigezo Maalum ya Teknolojia

  • Njia vigezo vinavyoshughulikiwa na kupewa kipaumbele inategemea teknolojia ya wavuti inayotumika, ikikathiri jinsi HPP inavyoweza kutumika.
  • Zana kama Wappalyzer husaidia kubaini teknolojia hizi na tabia zao za uchambuzi.

PHP na HPP Kutumiwa

Kesi ya Ubadilishaji wa OTP:

  • Muktadha: Mfumo wa kuingia unahitaji Nambari ya Muda Mmoja (OTP) ulitumiwa.
  • Mbinu: Kwa kukamata ombi la OTP kwa kutumia zana kama Burp Suite, washambuliaji waliga vigezo vya email katika ombi la HTTP.
  • Matokeo: OTP, iliyokusudiwa kwa barua pepe ya awali, ilitumwa badala yake kwa anwani ya barua pepe ya pili iliyotajwa katika ombi lililobadilishwa. Kasoro hii iliruhusu ufikiaji usioidhinishwa kwa kukwepa kipimo cha usalama kilichokusudiwa.

Hali hii inaonyesha makosa muhimu katika nyuma ya programu, ambayo ilishughulikia kigezo cha kwanza cha email kwa ajili ya uzalishaji wa OTP lakini ilitumia cha mwisho kwa ajili ya usambazaji.

Kesi ya Ubadilishaji wa Funguo za API:

  • Hali: Programu inaruhusu watumiaji kubadilisha funguo zao za API kupitia ukurasa wa mipangilio ya wasifu.
  • Njia ya Shambulio: Mshambuliaji anagundua kwamba kwa kuongeza kigezo cha ziada api_key kwenye ombi la POST, wanaweza kubadilisha matokeo ya kazi ya kubadilisha funguo za API.
  • Mbinu: Kwa kutumia zana kama Burp Suite, mshambuliaji anaunda ombi ambalo lina vigezo viwili vya api_key: kimoja halali na kingine kibaya. Seva, ikishughulikia tu matukio ya mwisho, inasasisha funguo za API kwa thamani iliyotolewa na mshambuliaji.
  • Matokeo: Mshambuliaji anapata udhibiti juu ya utendaji wa API wa mwathirika, akipata au kubadilisha data binafsi bila idhini.

Mfano huu unasisitiza zaidi umuhimu wa kushughulikia vigezo kwa usalama, hasa katika vipengele muhimu kama vile usimamizi wa funguo za API.

Uchambuzi wa Vigezo: Flask vs. PHP

Njia teknolojia za wavuti zinavyoshughulikia vigezo vya HTTP vilivyopigwa marufuku inatofautiana, ikikathiri uwezekano wao wa kushambuliwa na HPP:

  • Flask: Inachukua thamani ya kigezo cha kwanza kilichokutana, kama vile a=1 katika mfuatano wa maswali a=1&a=2, ikipa kipaumbele mfano wa awali kuliko nakala zinazofuata.
  • PHP (katika Apache HTTP Server): Kinyume chake, inapa kipaumbele thamani ya mwisho ya kigezo, ikichagua a=2 katika mfano uliopewa. Tabia hii inaweza kwa bahati mbaya kuruhusu matumizi ya HPP kwa kuheshimu kigezo kilichobadilishwa na mshambuliaji badala ya asili.

Marejeo

{% embed url="https://websec.nl/" %}

{% hint style="success" %} Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks
{% endhint %}