La contaminación de parámetros HTTP o HPP en resumen es una vulnerabilidad que se produce debido al paso de múltiples parámetros que tienen el mismo nombre. No existe un estándar RFC sobre lo que se debe hacer cuando se pasan varios parámetros. Esta vulnerabilidad se descubrió por primera vez en 2009. [1] HPP podría utilizarse para la contaminación de canales cruzados, evitando la protección CSRF y las comprobaciones de validación de entrada WAF . [2]
Comportamiento
Cuando se pasan varios parámetros con el mismo nombre, así es como se comporta el backend
Tecnología | Resultado de análisis | Ejemplo |
---|---|---|
ASP.NET/IIS | Todas las apariciones concatenadas con una coma | param = val1, val2 |
ASP / IIS | Todas las apariciones concatenadas con una coma | param = val1, val2 |
PHP / Apache | Solo la última aparición | param = val2 |
PHP / Zeus | Solo la última aparición | param = val2 |
JSP, Servlet / Apache Tomcat | Primera aparición solamente | param = val1 |
JSP, Servlet / Servidor de aplicaciones Oracle | Primera aparición solamente | param = val1 |
JSP, servlet / embarcadero | Primera aparición solamente | param = val1 |
IBM Lotus Domino | Solo la última aparición | param = val2 |
Servidor HTTP de IBM | Primera aparición solamente | param = val1 |
mod_perl, libapreq2 / Apache | Primera aparición solamente | param = val1 |
Perl CGI / Apache | Primera aparición solamente | param = val1 |
mod_wsgi (Python) / Apache | Primera aparición solamente | param = val1 |
Python / Zope | Todas las apariciones en la lista (matriz) | param = ['val1', 'val2'] |
Tipos
Lado del cliente
Lado del servidor
Prevención
La validación de entrada adecuada y el conocimiento sobre la tecnología web en HPP es protección contra la contaminación de parámetros HTTP. [4]
Ver también
Referencias
- ^ a b "WSTG - más reciente: pruebas de contaminación del parámetro HTTP" .
- ^ "Vulnerabilidades de contaminación de parámetros HTTP en aplicaciones web" (PDF) . 2011.
- ^ a b c d e Luca Carettoni y Stefano Di Paola. "Contaminación de parámetros HTTP" (PDF) .Mantenimiento de CS1: utiliza el parámetro de autores ( enlace )
- ^ "Cómo detectar ataques de contaminación de parámetros HTTP" .