Ya habíamos hablado del tema de la contaminación de parámetros Http (polución, decían) en Contaminación de parámetros HTTP (HPP), PAPAS: ¿Somos vulnerables a la polución de parámetros HTTP? y Polución de parámetros del protocolo HTTP.
Esencialmente, se trataba de añadir parámetros extra en las peticiones que, dependiendo del servidor y la aplicación podían utilizarse para obtener algún beneficio.
En [PDF] Http Parameter contamination, vemos cómo se puede llevar el tema por otro camino: aprovechar la forma en que interpretan los servidores web determinados caracteres para saltarse los cortafuegos de aplicaciones. Por ejemplo, algunos servidores y configuraciones cambiarían el caracter «]» por el carácter «_».
Uno no puede fiarse de nada.
Lo de saltarse cortafuegos de aplicaciones (WAF), ya fué presentado en la OWASP Conference de Polonia en el 2009, no es nada nuevo.
Pero te refieres a esta técnica o a otras? Yo no lo conocía, pero eso no significa nada, claro :)
Pingback: Bitacoras.com
Me refiero al HTTP Parameter Pollution… a repetir parámetros para que las peticiones no coincidan con las firmas que tienen definidas los WAF… sí vamos, es lo mismo.
Aquí tienes la web:
https://www.owasp.org/index.php/AppSecEU09#tab=Conference-_May_14
Y aquí el Paper:
Haz clic para acceder a AppsecEU09_CarettoniDiPaola_v0.8.pdf
Ya. Pero una cosa es repetir parámetros para engañar a esos filtros y otra cosa ligeramente diferente (aunque basada en la idea del HPP, como citan en el artículo) es aprovechar cómo algunas infraestructuras cambian algunos caracteres de las peticiones. Creo que esa es la novedad.
Tienes razón, tras volver a leer los papers que he enlazado no he visto la explotación de la normalización de caracteres… Estaba convencido de que en el WarGame que propusieron no solo jugaban con eludir las firmas sino también con la normalización de los caracteres que hacía el IIS… debo haberlo confundido, lo siento.
Un saludo.
Me extrañaba lo que decías pero todo puede ser. Gracias por comentar, en todo caso ;)
Veo en http://www.elladodelmal.com/2011/07/hpc-http-parameter-contamination.html
un comentario más detallado de la cosa, por si a alguien le da pereza el informe original.