पैरामीटर प्रदूषण

HTTP पैरामीटर प्रदूषण (HPP) अवलोकन

HTTP पैरामीटर प्रदूषण (HPP) एक तकनीक है जहाँ हमलावर HTTP पैरामीटर को मानवीय तरीके से एक वेब एप्लिकेशन के व्यवहार को बदलने के लिए मनिपुलेट करते हैं। इस मनिपुलेशन को HTTP पैरामीटर जोड़कर, संशोधित करके, या डुप्लिकेट करके किया जाता है। इन मनिपुलेशनों का प्रभाव सीधे उपयोगकर्ता को दिखाई नहीं देता है लेकिन सर्वर साइड पर एप्लिकेशन के कार्यक्षमता को काफी बदल सकता है, जिससे उपयोगकर्ता साइड पर दिखाई देने वाले प्रभाव होते हैं।

HTTP पैरामीटर प्रदूषण (HPP) का उदाहरण

एक बैंकिंग एप्लिकेशन लेन-देन URL:

• मूल URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000

एक अतिरिक्त from पैरामीटर डालकर:

• मनिपुलेटेड URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC

लेन-देन को accountA की बजाय accountC पर गलती से चार्ज किया जा सकता है, जो HPP की संभावना को दिखाता है कि लेन-देन या अन्य कार्यक्षमताओं को मनिपुलेट करने की क्षमता है जैसे पासवर्ड रीसेट, 2FA सेटिंग्स, या API कुंजी अनुरोध।

प्रौद्योगिकी-विशिष्ट पैरामीटर पार्सिंग

• पैरामीटर कैसे पार्स किए जाते हैं और प्राथमिकता कैसे दी जाती है, इस पर निर्भर करता है कि नीचे लेटर वेब प्रौद्योगिकी कैसे प्रभावित होती है, HPP कैसे शोषित किया जा सकता है।

• Wappalyzer जैसे उपकरण इन प्रौद्योगिकियों और उनके पार्सिंग व्यवहारों की पहचान करने में मदद करते हैं।

PHP और HPP शोषण

OTP शोषण मामला:

• संदर्भ: एक लॉगिन तंत्र जिसमें एक वन-टाइम पासवर्ड (OTP) की आवश्यकता होती है, का शोषण किया गया था।

• तरीका: Burp Suite जैसे उपकरणों का उपयोग करके OTP अनुरोध को अंतर्गत करके, हमलावर ने HTTP अनुरोध में email पैरामीटर को डुप्लिकेट किया।

• परिणाम: OTP, जो प्रारंभिक ईमेल के लिए था, बजाय मनिपुलेटेड अनुरोध में निर्धारित दूसरे ईमेल पते पर भेजा गया। यह दोष अधिकृत सुरक्षा उपाय को चकनाचूर करके अनधिकृत पहुंच की अनुमति देता था।

यह परिदृश्य एक गंभीर अवधारणा को प्रकट करता है जो एप्लिकेशन के बैकएंड में हाथ में था, जो OTP उत्पन्न करने के लिए पहले email पैरामीटर को प्रसंस्करण किया था लेकिन डिलीवरी के लिए अंतिम का उपयोग किया गया था।

API कुंजी शोषण मामला:

• परिदृश्य: एक एप्लिकेशन उपयोगकर्ताओं को उनकी API कुंजी को प्रोफ़ाइल सेटिंग्स पृष्ठ के माध्यम से अपडेट करने की अनुमति देता है।

• हमला वेक्टर: एक हमलावर यह खोजता है कि POST अनुरोध में एक अतिरिक्त api_key पैरामीटर जोड़कर, वे API कुंजी अपडेट कार्यक्षमता को मनिपुलेट कर सकते हैं।

• तकनीक: Burp Suite जैसे उपकरण का उपयोग करके, हमलावर एक अनुरोध बनाता है जिसमें दो api_key पैरामीटर शामिल हैं: एक वैध और एक दुर्भाग्यपूर्ण। सर्वर, केवल अंतिम घटना को प्रसंस्करण करते हुए, API कुंजी को हमलावर द्वारा प्रदत्त मान के लिए अपडेट करता है।

• परिणाम: हमलावर विक्टिम की API कार्यक्षमता पर नियंत्रण प्राप्त करता है, संभावित रूप से अनधिकृत रूप से व्यक्तिगत डेटा तक पहुंचता है या संशोधित करता है।

यह उदाहरण और अधिक जोर देता है सुरक्षित पैरामीटर हैंडलिंग की आवश्यकता पर, विशेष रूप से ऐसे विशेषताओं में जैसे API कुंजी प्रबंधन।

पैरामीटर पार्सिंग: फ्लास्क vs. PHP

वेब प्रौद्योगिकियाँ डुप्लिकेट HTTP पैरामीटर को कैसे हैंडल करती हैं, इसका प्रभाव होता है, जिससे उनकी HPP हमलों के प्रति संवेदनशीलता पर प्रभाव पड़ता है:

• फ्लास्क: पहले पैरामीटर मान को अपनाता है, जैसे कि a=1 एक क्वेरी स्ट्रिंग a=1&a=2 में, पहले उदाहरण को अधिकतम प्राथमिकता देता है।

• PHP (एपाची HTTP सर्वर पर): उल्टे, अंतिम पैरामीटर मान को प्राथमिकता देता है, दिए गए उदाहरण में a=2 का चयन करता है। यह व्यवहार अनजाने में HPP शोषण को सुविधाजनक बना सकता है, हमलावर के मनिपुलेटेड पैरामीटर को मूल के ऊपर सम्मानित करके।

संदर्भ

• https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654

• https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution