Parameter Pollution | JSON Injection
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
HTTP Parameter Pollution (HPP) je tehnika gde napadači manipulišu HTTP parametrima kako bi promenili ponašanje web aplikacije na nepredviđene načine. Ova manipulacija se vrši dodavanjem, modifikovanjem ili dupliciranjem HTTP parametara. Efekat ovih manipulacija nije direktno vidljiv korisniku, ali može značajno promeniti funkcionalnost aplikacije na serverskoj strani, sa uočljivim uticajima na klijentskoj strani.
URL transakcije bankarske aplikacije:
Original URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000
Umetanjem dodatnog from
parametra:
Manipulated URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC
Transakcija može biti pogrešno naplaćena na accountC
umesto na accountA
, pokazujući potencijal HPP-a da manipuliše transakcijama ili drugim funkcionalnostima kao što su resetovanje lozinke, podešavanja 2FA ili zahtevi za API ključem.
Način na koji se parametri analiziraju i prioritizuju zavisi od osnovne web tehnologije, što utiče na to kako se HPP može iskoristiti.
Alati poput Wappalyzer pomažu u identifikaciji ovih tehnologija i njihovih ponašanja prilikom analize.
OTP Manipulation Case:
Context: Mehanizam prijavljivanja koji zahteva jednokratnu lozinku (OTP) je iskorišćen.
Method: Presretanjem zahteva za OTP koristeći alate poput Burp Suite, napadači su duplicirali email
parametar u HTTP zahtevu.
Outcome: OTP, namenjen za inicijalnu email adresu, umesto toga je poslat na drugu email adresu navedenu u manipulisanom zahtevu. Ova greška je omogućila neovlašćen pristup zaobilaženjem predviđene sigurnosne mere.
Ovaj scenario ističe kritičan propust u backend-u aplikacije, koji je obradio prvi email
parametar za generisanje OTP-a, ali je koristio poslednji za isporuku.
API Key Manipulation Case:
Scenario: Aplikacija omogućava korisnicima da ažuriraju svoj API ključ putem stranice za podešavanje profila.
Attack Vector: Napadač otkriva da dodavanjem dodatnog api_key
parametra u POST zahtev može manipulisati ishodom funkcije ažuriranja API ključa.
Technique: Koristeći alat poput Burp Suite, napadač kreira zahtev koji uključuje dva api_key
parametra: jedan legitimni i jedan zlonameran. Server, obrađujući samo poslednju pojavu, ažurira API ključ na vrednost koju je naveo napadač.
Result: Napadač dobija kontrolu nad funkcionalnošću API-ja žrtve, potencijalno pristupajući ili modifikujući privatne podatke neovlašćeno.
Ovaj primer dodatno naglašava potrebu za sigurnim rukovanjem parametrima, posebno u funkcijama koje su kritične kao što je upravljanje API ključem.
Način na koji web tehnologije obrađuju duple HTTP parametre varira, utičući na njihovu podložnost HPP napadima:
Flask: Usvaja prvu vrednost parametra koja se susreće, kao što je a=1
u upitu a=1&a=2
, prioritizujući inicijalnu instancu nad kasnijim duplikatima.
PHP (na Apache HTTP Server-u): Nasuprot tome, prioritizuje poslednju vrednost parametra, birajući a=2
u datom primeru. Ovo ponašanje može nenamerno olakšati HPP eksploate tako što poštuje manipulisan parametar napadača umesto originalnog.
There results were taken from https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89
Ignoriši sve nakon %00 u imenu parametra.
Rukuj sa name[] kao nizom.
_GET ne znači GET metodu.
Preferiraj poslednji parametar.
Koristi & i ; kao delimitere za razdvajanje parametara.
Ne prepoznaje name[].
Preferiraj prvi parametar.
POST RequestMapping == PostMapping & GET RequestMapping == GetMapping.
POST RequestMapping & PostMapping prepoznaju name[].
Preferiraj name ako name i name[] postoje.
Konkateniraj parametre npr. first,last.
POST RequestMapping & PostMapping prepoznaju upitni parametar sa Content-Type.
Prepoznaje name[].
Konkateniraj parametre npr. first,last.
NE prepoznaje name[].
Preferiraj prvi parametar.
NE prepoznaje name[].
Preferiraj prvi parametar.
NE prepoznaje name[].
Preferiraj poslednji parametar.
NE prepoznaje name[].
Preferiraj poslednji parametar.
Frontend može verovati prvoj pojavi, dok backend koristi drugu pojavu ključa.
Određeni karakteri neće biti ispravno interpretirani od strane frontenda, ali backend će ih interpretirati i koristiti te ključeve, što može biti korisno za obići određena ograničenja:
Napomena kako u ovim slučajevima frontend može misliti da je test == 1
, dok backend može misliti da je test == 2
.
Ovo se takođe može koristiti za zaobilaženje ograničenja vrednosti kao što su:
Ovde ćemo koristiti serializer iz svakog parsera da bismo videli njegov odgovarajući izlaz.
Serializer 1 (npr., GoLangova GoJay biblioteka) će proizvesti:
description = "Duplikat sa komentarima"
test = 2
extra = ""
Serializer 2 (npr., Java-ova JSON-iterator biblioteka) će proizvesti:
description = "Duplikat sa komentarima"
extra = "/*"
extra2 = "*/"
test = 1
Alternativno, jednostavna upotreba komentara može takođe biti efikasna:
Java-ova GSON biblioteka:
Rubyjeva simdjson biblioteka:
Broj
може бити декодирано у више представљања, укључујући:
Koje bi mogle stvoriti nesuglasice
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)