capec - 460: HTTP参数污染(HPP) |
 描述
敌人增加重复的HTTP GET / POST参数通过注入查询字符串分隔符。通过高压泵可以覆盖现有的硬编码的HTTP参数,修改应用程序的行为,访问,可能利用,不可控变量和旁路输入验证检查点和WAF规则。
典型的严重性
执行流程
探索
找到用户输入:敌人发现在web应用程序的任何地方使用用户提供的输入形式或行动。这也可以通过观察发现URL中的参数在浏览器的导航栏
实验
添加重复的参数值:一旦对手已经确定什么是用户输入作为HTTP参数,他们将副本添加到每个参数一个接一个观察结果。如果HTTP请求的响应显示重复的参数值与原参数值在某种程度上,连接或只是重复的参数值,然后进行是可能的。
| 技术 |
| 在URL中,添加一个重复的参数通过使用分隔符“&”。例如“par1 = val1”变成了“par1 = val1&par1 = val2”。根据后端API,这可能被视为“par1 = val1, val2”,这可能导致par1将val2,忽视val1。 |
| 如果请求创建基于用户输入直接在页面上,敌人将测试通过添加一个编码输入分隔符。例如,adverary可能供应“1000% 26 action =撤回”和后端可能会解释一个POST请求的目的“行动=存款金额= 1000行动=撤离” |
利用
利用高压泵:一旦敌人发现后端如何处理重复的参数,他们会利用这个被污染的目的,利益。在某些情况下,后台硬编码的参数将被不予置理。另一方面,对手可以绕过WAF可能只检查一个参数之前已经连接到后端,导致恶意查询得到通过。
先决条件
所需资源
缓解措施
| 配置:如果使用一个Web应用程序防火墙(WAF),过滤器应该仔细配置为检测异常的HTTP请求 |
| 设计:执行URL编码 |
| 实现:在URL重写使用严格的正则表达式 |
| 实现:谨防多次出现在查询字符串参数 |
分类法映射
引用
 内容的历史
| 提交 |
| 提交日期 |
提交者 |
组织 |
| 2014-06-23
(版本2.6) |
CAPEC内容团队 |
manbetx客户端首页 |
|
| 修改 |
| 修改日期 |
修饰符 |
组织 |
| 2020-12-17
(版本3.4) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新的措施之一,引用,Taxonomy_Mappings |
| 2021-10-21
(版本3.6) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新Related_Attack_Patterns |
| 2022-02-22
(版本3.7) |
CAPEC内容团队 |
manbetx客户端首页 |
| 更新描述,Execution_Flow |
|
描述
此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
内容的历史
