Yeni Saldırı Yöntemi: Parametre Kirliliği

Son düzenlenen OWASP güvenlik konferansında İtalyan güvenlik uzmanları Luca Carettoni ve Stefano Di Paola geliştirdikleri yeni web saldırı yöntemlerini tanıttılar. HTTP Parametre Kirliliği (HTTP Parameter Pollution - HPP) adı verilen bu yöntem ile birlikte bir çok web uygulaması üzerinde güvenlik tehditleri yaratmak mümkün. Yöntemin temeli GET ve POST isteklerini gönderirken alışılmadık formlarda ve sınırlamalarla yapmak.

Bu yeni yöntem ile birlikte SQL Injection, XSS ya da komut enjeksiyonu gibi saldırı metodları geliştirilebilmekte. Özellikle mevcut güvenlik önlemlerinden filtrelemenin sıkı yapılmaması HPP manipülasyonlarına fırsat doğurmakta.

Örnek olarak aşağıdakine benzer bir istek,

normal şekilde gönderilirken isteğin şu şekilde manipüle edilmesi sunucu tarafında istenmeyen şekilde yorumlanabilir ve güvenlik açıkları doğurabilir;

Yine benzer şekilde Apache ModSecurity aşağıdaki SQL Injection saldırılarından ilkini engelleyebilirken, ikinci satırdaki HPP yöntemiyle değiştirdiğimiz saldırıda etkisiz kalmakta,

Güvenlik uzmanları buradaki en büyük zafiyetin “&” ve “;” ayraçlarından geldiğini belirtmekte. Tarayıcı ve güvenlik uygulamaları ise bu yeni atak metoduna karşı filtreleme özelliklerini güçlendirmeli.

Daha detaylı bilgi için: http://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf