Parameter Pollution

Parameter Pollution

HTTP Parameter Pollution (HPP) Overview

HTTP Parameter Pollution (HPP) je tehnika gde napadači manipulišu HTTP parametrima kako bi promenili ponašanje web aplikacije na nepredviđene načine. Ova manipulacija se vrši dodavanjem, modifikovanjem ili dupliciranjem HTTP parametara. Efekat ovih manipulacija nije direktno vidljiv korisniku, ali može značajno promeniti funkcionalnost aplikacije na serverskoj strani, sa uočljivim uticajima na klijentskoj strani.

Example of HTTP Parameter Pollution (HPP)

URL transakcije bankarske aplikacije:

• Original URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000

Umetanjem dodatnog from parametra:

• Manipulated URL: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC

Transakcija može biti pogrešno naplaćena na accountC umesto na accountA, pokazujući potencijal HPP-a da manipuliše transakcijama ili drugim funkcionalnostima kao što su resetovanje lozinke, podešavanja 2FA ili zahtevi za API ključem.

Technology-Specific Parameter Parsing

• Način na koji se parametri analiziraju i prioritetizuju zavisi od osnovne web tehnologije, što utiče na to kako se HPP može iskoristiti.

• Alati poput Wappalyzer pomažu u identifikaciji ovih tehnologija i njihovih ponašanja prilikom analize.

PHP and HPP Exploitation

OTP Manipulation Case:

• Context: Mehanizam prijavljivanja koji zahteva jednokratnu lozinku (OTP) je iskorišćen.

• Method: Presretanjem OTP zahteva koristeći alate poput Burp Suite, napadači su duplicirali email parametar u HTTP zahtevu.

• Outcome: OTP, namenjen za inicijalnu email adresu, umesto toga je poslat na drugu email adresu navedenu u manipulisanom zahtevu. Ova greška je omogućila neovlašćen pristup zaobilaženjem predviđene sigurnosne mere.

Ovaj scenario ističe kritičan propust u backend-u aplikacije, koji je obradio prvi email parametar za generisanje OTP-a, ali je koristio poslednji za isporuku.

API Key Manipulation Case:

• Scenario: Aplikacija omogućava korisnicima da ažuriraju svoj API ključ putem stranice za podešavanje profila.

• Attack Vector: Napadač otkriva da dodavanjem dodatnog api_key parametra u POST zahtev može manipulisati ishodom funkcije ažuriranja API ključa.

• Technique: Koristeći alat poput Burp Suite, napadač kreira zahtev koji uključuje dva api_key parametra: jedan legitimni i jedan zlonameran. Server, obrađujući samo poslednju pojavu, ažurira API ključ na vrednost koju je naveo napadač.

• Result: Napadač dobija kontrolu nad funkcionalnošću API-ja žrtve, potencijalno pristupajući ili modifikujući privatne podatke neovlašćeno.

Ovaj primer dodatno naglašava potrebu za sigurnim rukovanjem parametrima, posebno u funkcijama koje su kritične kao što je upravljanje API ključem.

Parameter Parsing: Flask vs. PHP

Način na koji web tehnologije obrađuju duple HTTP parametre varira, utičući na njihovu podložnost HPP napadima:

• Flask: Usvaja prvu vrednost parametra koja se susreće, kao što je a=1 u upitu a=1&a=2, prioritetizujući inicijalnu instancu nad kasnijim duplikatima.

• PHP (na Apache HTTP Server-u): Nasuprot tome, prioritetizuje poslednju vrednost parametra, birajući a=2 u datom primeru. Ovo ponašanje može nenamerno olakšati HPP eksploate tako što poštuje manipulisan parametar napadača umesto originalnog.

References

• https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654

• https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution