Son düzenlenen OWASP güvenlik konferansında İtalyan güvenlik uzmanları Luca Carettoni ve Stefano Di Paola geliştirdikleri yeni web saldırı yöntemlerini tanıttılar. HTTP Parametre Kirliliği (HTTP Parameter Pollution – HPP) adı verilen bu yöntem ile birlikte bir çok web uygulaması üzerinde güvenlik tehditleri yaratmak mümkün. Yöntemin temeli GET ve POST isteklerini gönderirken alışılmadık formlarda ve sınırlamalarla yapmak.

Bu yeni yöntem ile birlikte SQL Injection, XSS ya da komut enjeksiyonu gibi saldırı metodları geliştirilebilmekte. Özellikle mevcut güvenlik önlemlerinden filtrelemenin sıkı yapılmaması HPP manipülasyonlarına fırsat doğurmakta.

Örnek olarak aşağıdakine benzer bir istek,
GET /foo?par1=val1&par2=val2 HTTP/1.1
normal şekilde gönderilirken isteğin şu şekilde manipüle edilmesi sunucu tarafında istenmeyen şekilde yorumlanabilir ve güvenlik açıkları doğurabilir;
GET /foo?par1=val1&par1=val2 HTTP/1.1
Yine benzer şekilde Apache ModSecurity aşağıdaki SQL Injection saldırılarından ilkini engelleyebilirken, ikinci satırdaki HPP yöntemiyle değiştirdiğimiz saldırıda etkisiz kalmakta,
/index.aspx?page=select 1,2,3 from table where id=1
/index.aspx?page=select 1&page=2,3 from table where id=1
Güvenlik uzmanları buradaki en büyük zafiyetin “&” ve “;” ayraçlarından geldiğini belirtmekte. Tarayıcı ve güvenlik uygulamaları ise bu yeni atak metoduna karşı filtreleme özelliklerini güçlendirmeli.

Daha detaylı bilgi için:

http://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf

Kaynak:Guvenli.org