HTTP Parameter Pollution (HPP) 同名的 http 變數名稱

介紹

HTTP Parameter Pollution (HPP) Attacks 是一種利用同名的變數名稱進行攻擊的方法，此類行為在某些網頁應用程式防火牆(WAF)中稱為 Duplicate Parameter Name
當同名變數時，不同的網頁伺服器會有不同的結果(串接、取第一個、取最後一個)，攻擊者可以利用這個方法達成 竄改變數內容 或 繞過敏感字串的防禦機制

實作方式

例如在google搜尋引擎上，先輸入123的字串，再於網址列q=123後面補上&q=456，可以看到搜尋結果會將 123 456 串在一起搜尋

不同程式語言/主機的回應機制

不同的程式語言或主機對重複變數的處理機制都不同，請參考下表

如果是node.js，會拿到如同Python/Zope的陣列型態

攻擊產生的影響

• 複寫變數
  php、jsp都不會取所有的變數，所以可以 "多串一個同名變數" 來複寫原本的變數

• 修改行為、存取變數
  實作方式如前述的複寫變數，複寫變數後可修改原本的行為

• 繞過輸入驗證
  如果有一段sql injection是這樣，程式的安全驗證模組通常可以擋下來

/index.aspx?page=select 1,2,3 from table

但是拆開後改寫後，就有可能繞過某些寫的不夠完整的驗證模組

/index.aspx?page=select 1&page=2,3 from table 

• 繞過身分驗證
  使用複寫變數的方式達成，在 blogger 曾發現這個漏洞，例如這串語法，可以讓 attacker (未經授權的使用者)取得 victim (受害者)的 blogger 存取權

POST /add-authors.do HTTP/1.1

security_token=attackertoken&blogID=attackerblogidvalue&blogID=victimblogidvalue&authorsList=goldshlager19test%40gmail.com(attacker email)&ok=Invite

參考文件

Testing for HTTP Parameter pollution (OTG-INPVAL-004)
https://kennel209.gitbooks.io/owasp-testing-guide-v4/en/web_application_security_testing/testing_for_http_parameter_pollution_otg-inpval-004.html

How to Detect HTTP Parameter Pollution Attacks
https://www.acunetix.com/blog/whitepaper-http-parameter-pollution

HTTP Parameter Pollution
https://www.imperva.com/learn/application-security/http-parameter-pollution/

資安JAVA(二二)： HTTP Parameter Pollution
http://likewaylai.blogspot.com/2012/06/java-http-parameter-pollution.html

Bypassing WAF via HTTP Parameter Pollution
http://danuxx.blogspot.com/2012/10/bypassing-waf-via-http-parameter.html

What is HTTP Parameter Pollution attack in NodeJS/ExpressJs
https://stackoverflow.com/questions/30672500/what-is-http-parameter-pollution-attack-in-nodejs-expressjs

tags: 資安