|
Scoperta una tecnica di attacco per il protocollo HPP |
|
Mercoledì 27 Maggio 2009 16:31 |
Nell’ambito del “OWASP Appec Europe 2009” alcuni ricercatori hanno illustrato uno studio relativo ad alcune vulnerabilità che interesserebbero l’HTTP Parameter Pollution (HPP).
La ricerca parte dalla constatazione che le attuali applicazioni web risultano strutturate come una pila di software che interagiscono tramite diversi protocolli per lo scambio di dati, parametri ecc. Ogni singolo elemento di questa pila è esposto potenzialmente a vulnerabilità di tipo input validation (SQL Injection, LDAP Injection, ecc.). In questo scenario i ricercatori si sono concentrati in particolare sugli attacchi di injection verso i delimitatori delle query string del protocollo http: ovvero quella parte della URI compresa tra il simbolo ‘?’ e la fine della stringa che è composta da una serie di coppie campo/valore separate dal simbolo ‘&’ oppure ‘;’. Se vengono ripetutamente inseriti, con valori diversi, i medesimi parametri all’interno della stessa query string, l’applicazione – in base anche al tipo di web server utilizzato - può considerare talvolta solo il primo valore, oppure l’ultimo ed in altri casi i ricercatori hanno osservato una concatenazione di tutti i valori separati da virgole. Si evidenzia, pertanto, come la risposta di un’applicazione web ad un attacco basato su questa tecnica possa essere imprevedibile e dipendere da molteplici fattori. Gli attacchi tramite HPP possono quindi essere considerati come la capacità di manipolare o aggiungere dei parametri alle GET o POST HTTP iniettando dei query string delimiter. Sfruttando simili vulnerabilità, che possono essere insite nelle applicazioni web, risulta possibile alterare il funzionamento stesso dell’applicazione sfruttando variabili non gestite correttamente, eludendo i punti di input validation o le regole dei Web Application Firewall. Per quanto riguarda, invece, le contromisure i due ricercatori consigliano di valutare i diversi elementi critici che compongono la realizzazione e l’implementazione di un’applicazione web su cui impatta questo tipo di attacco in particolare il filtraggio dei parametri. L’analisi evidenzia come elemento critico la mancanza di linee guida che indichino come comportarsi in presenza di occorrenze multiple dello stesso parametro all’interno di una query string oltre ad una mancanza di sensibilità verso le problematiche di sicurezza connesse allo sviluppo e collaudo di tali applicazioni sotto questi specifici profili. Ulteriori dettagli sono disponibili presso la seguente url: http://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf
|
|
Ultimo aggiornamento Venerdì 05 Giugno 2009 09:50 |
In questa categoria sono visualizzati i notiziari relativi ai temi della sicurezza ICT pubblicati dal CERT-SPC quale ulteriore mezzo per informare la Constituency del Sistema Pubblico di Connettività, cittadini ed operatori interessati su alcuni temi di interesse per la sicurezza dei sistemi informatici delle Amministrazioni connesse a SPC. L'iniziativa mira, pertanto, a contribuire alla sensibilizzazione sulle tematiche di sicurezza informatica per consolidare e maturare una cultura della sicurezza delle applicazioni e dei sistemi informatici nella P.A.
Commenti