6.6 KiB
Parameterverontreiniging
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek Die PEASS-familie, ons versameling van eksklusiewe NFT's
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.
{% embed url="https://websec.nl/" %}
HTTP Parameter Pollution (HPP) Oorsig
HTTP Parameter Pollution (HPP) is 'n tegniek waar aanvallers HTTP-parameters manipuleer om die gedrag van 'n webtoepassing op onbedoelde maniere te verander. Hierdie manipulasie word gedoen deur HTTP-parameters by te voeg, te wysig, of te dupliseer. Die effek van hierdie manipulasies is nie direk sigbaar vir die gebruiker nie, maar kan die toepassing se funksionaliteit aan die kant van die bediener aansienlik verander, met waarneembare impakte aan die kant van die kliënt.
Voorbeeld van HTTP Parameter Pollution (HPP)
'n Banktoepassingstransaksie-URL:
- Oorspronklike URL:
https://www.victim.com/send/?from=accountA&to=accountB&amount=10000
Deur 'n bykomende from
-parameter in te voeg:
- Gemanipuleerde URL:
https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC
Die transaksie kan verkeerdelik aan accountC
in plaas van accountA
belas word, wat die potensiaal van HPP toon om transaksies of ander funksionaliteite soos wagwoordherstel, 2FA-instellings, of API-sleutelversoeke te manipuleer.
Tegnologiespesifieke Parameterontleding
- Die manier waarop parameters ontled en prioriteit gegee word, hang af van die onderliggende webtegnologie, wat beïnvloed hoe HPP uitgebuit kan word.
- Gereedskap soos Wappalyzer help om hierdie tegnologieë en hul ontledingsgedrag te identifiseer.
PHP en HPP-uitbuiting
OTP-manipulasiegeval:
- Konteks: 'n Aanmeldingsmeganisme wat 'n Eenmalige Wagwoord (OTP) vereis, is uitgebuit.
- Metode: Deur die OTP-versoek te onderskep met gereedskap soos Burp Suite, het aanvallers die
e-pos
-parameter in die HTTP-versoek gedupliseer. - Uitkoms: Die OTP, bedoel vir die oorspronklike e-pos, is in plaas daarvan na die tweede e-posadres gestuur wat in die gemanipuleerde versoek gespesifiseer is. Hierdie fout het ongemagtigde toegang moontlik gemaak deur die bedoelde sekuriteitsmaatreël te omseil.
Hierdie scenario beklemtoon 'n kritiese oorsig in die toepassing se agterkant, wat die eerste e-pos
-parameter vir OTP-generering verwerk het, maar die laaste vir aflewering gebruik het.
API-sleutelmanipulasiegeval:
- Skenario: 'n Toepassing laat gebruikers toe om hul API-sleutel by te werk deur 'n profielinstellingsbladsy.
- Aanvalvektor: 'n Aanvaller ontdek dat deur 'n bykomende
api_key
-parameter by die POST-versoek te voeg, hulle die uitkoms van die API-sleutelopdateringsfunksie kan manipuleer. - Tegniek: Deur 'n gereedskap soos Burp Suite te gebruik, stel die aanvaller 'n versoek op wat twee
api_key
-parameters insluit: een wettig en een skadelik. Die bediener, wat slegs die laaste voorkoms verwerk, werk die API-sleutel na die waarde wat deur die aanvaller voorsien is. - Resultaat: Die aanvaller verkry beheer oor die slagoffer se API-funksionaliteit, wat moontlik toegang tot of wysiging van privaat data ongemagtig maak.
Hierdie voorbeeld beklemtoon verder die noodsaaklikheid van veilige parameterhantering, veral in funksies so krities soos API-sleutelbestuur.
Parameterontleding: Flask vs. PHP
Die manier waarop webtegnologieë dupliseer HTTP-parameters hanteer, verskil, wat hul vatbaarheid vir HPP-aanvalle beïnvloed:
- Flask: Neem die eerste parameterwaarde wat aangetref word, soos
a=1
in 'n vraagstringa=1&a=2
, wat die aanvanklike voorkoms bo daaropvolgende duplikate prioriteer. - PHP (op Apache HTTP-bediener): Daarteenoor, gee voorkeur aan die laaste parameterwaarde, wat vir
a=2
in die gegewe voorbeeld kies. Hierdie gedrag kan onbedoeld HPP-uitbuitings fasiliteer deur die aanvaller se gemanipuleerde parameter bo die oorspronklike te eer.
Verwysings
- https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654
- https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution
{% embed url="https://websec.nl/" %}
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek Die PEASS-familie, ons versameling van eksklusiewe NFT's
- Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @carlospolopm.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.