HTTP Parameter Pollution y PAPAS para verificar sitios web
Las técnicas HPP - HTTP Parameter Pollution – salieron a la luz pública en la presentación que Stefano di Paola y Luca Carettoni dieron en la OWASP de 2009 y en la que añadieron un nuevo vector de ataque a las aplicaciones web. La idea de estas técnicas es tan sencilla como peligrosa.
El objetivo es inyectar nuevos parámetros o duplicar los parámetros existentes, para poder cambiar el comportamiento de una aplicación web. Esto puede ser utilizado para acceder a configuraciones ocultas de una aplicación o saltar filtros de control a la hora de generar exploits entre otras cosas. Esta presentación fue la que nos dio la idea de polucionar cosas, que acabó en las técnicas de Connection String Parameter Pollution.
La historia es que ha salido un proyecto para detectar vulnerabilidades HPP en aplicaciones web haciendo fuzzing a las URLs de una aplicación web y, solo por el nombre, merecía pasar por este blog, pero es que además en él trabaja Carmen Torrano, una joven investigadora del CSIC, especializada en seguridad informática y que hemos tenido el placer de tener en varios eventos, como el Asegúr@IT Camp 2, debatiendo de sus cosas.
El proyecto, del que me avisó cuando se puso online el gran Peter Lagoon, se llama PAPAS, y aunque tiene muy poco tiempo de vida, permite hacer el envío de una URL para que sea procesada según se describe en el paper del motor del sistema: Automated Discovery of Parameter Pollution Vulnerabilities inWeb Applications
Puedes enviar tu URL desde el siguiente formulario: PAPAS Online. De momento el sistema está pensado para que solo los webmasters puedan escanear sus paginas web, por lo que, una vez solicitado el escaneo de un sitio se debe crear un fichero PAPAS.TXT en la raíz del dominio con un token generado para cada sitio.
Fuente: El Lado del Mal
El objetivo es inyectar nuevos parámetros o duplicar los parámetros existentes, para poder cambiar el comportamiento de una aplicación web. Esto puede ser utilizado para acceder a configuraciones ocultas de una aplicación o saltar filtros de control a la hora de generar exploits entre otras cosas. Esta presentación fue la que nos dio la idea de polucionar cosas, que acabó en las técnicas de Connection String Parameter Pollution.
La historia es que ha salido un proyecto para detectar vulnerabilidades HPP en aplicaciones web haciendo fuzzing a las URLs de una aplicación web y, solo por el nombre, merecía pasar por este blog, pero es que además en él trabaja Carmen Torrano, una joven investigadora del CSIC, especializada en seguridad informática y que hemos tenido el placer de tener en varios eventos, como el Asegúr@IT Camp 2, debatiendo de sus cosas.
El proyecto, del que me avisó cuando se puso online el gran Peter Lagoon, se llama PAPAS, y aunque tiene muy poco tiempo de vida, permite hacer el envío de una URL para que sea procesada según se describe en el paper del motor del sistema: Automated Discovery of Parameter Pollution Vulnerabilities inWeb Applications
Puedes enviar tu URL desde el siguiente formulario: PAPAS Online. De momento el sistema está pensado para que solo los webmasters puedan escanear sus paginas web, por lo que, una vez solicitado el escaneo de un sitio se debe crear un fichero PAPAS.TXT en la raíz del dominio con un token generado para cada sitio.
Fuente: El Lado del Mal
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!