HTTP参数污染(HPP)是一种Web攻击技术,通过利用不同Web环境处理同名参数的差异来绕过安全防护。本文介绍了HPP的工作原理,展示了如何在PHP和Java等环境中造成不同的取值结果,并详细列出多种Web应用平台的参数处理方式,揭示了HPP在绕过WAF防火墙中的潜在风险。
一、HPP
HTTP Parameter Pollution即HTTP参数污染,简称HPP。是web容器处理HTTP参数的一种方式。
HTTP 参数污染 (HPP) 是一种 Web 攻击规避技术,允许攻击者通过更改 HTTP 请求以操纵或搜索隐藏信息。这种规避技术基于在具有相同名称的参数的多个实例之间拆分攻击向量。某些环境通过从请求中连接的参数名称的所有实例中获取的值来处理此类请求。
1、例如:HttpPar.php的源码如下:
<?php
$str=$_REQUEST['str'];
echo $str;
?>
这段代码,接收HTTP参数中str的值,并显示在页面中。我们访问http://www.xxx.com/HttpPar.php?str=hello,显示结果将为hello。
在HTTP请求中,使用&可以连接不同的参数,如:str=hello&id=1。但是此时如果参数重复:str=hello&str=world&str=xxser,那么此时php在取值时只输出最后一个参数,输出则为xxser。这就是HTTP参数污染。
2、例如:HttpParServlet.java的源码如下
public class HttpParServlet wxtends HttpServlet{
pbulic void doGet(HttpServletRequest request,HttpServletResponse response)
throws ServletException,IOException{
this.doPost(request,response);
}
public void doPost(HttpServletRequest request,HttpServletResponse response)
throws ServletException,IOException{
response.setContentType("text/html");
PrintWriter out=response.getWriter();
String str=request.getParameter("str");
out.println(str);
out.flush();
out.close();
}
}
这段代码的含义很简单,接收HTTP参数str的值,并打印到页面上,访问页面http://xxx.xxx.com/HttpParServlet?str=hello&str=world&str=xxser,结果为hello,由此可知,不同脚本的语言和环境,结果取值是不一样的。
二、HPP的作用
HPP经常被用来绕过一些防火墙。
WAF在脚本还未接收到请求之前就开始对数据进行校验,如果未发现恶意代码,则交给脚本去处理,如果发现恶意代码,就进行拦截。
此时就存在一个问题。如:某个WAF防火墙定义数据中不允许出现select关键字,WAF取值验证时可能会验证第一个参数,而脚本取值与WAF不同,这样就有可能绕过WAF的数据验证。
比如:
PHP:News.php?id=1&id=select username,password from admin--
WAF取值为1,而PHP取值为select username,password from admin--
Asp.net:News.aspx?id=1;&id=s&id=e&id=l&id=e&id=c&id=t
Asp.net会将多个相同的参数项的值连接起来。
这样使用HTTP参数污染就极有可能绕过某些WAF防火墙。
三、HTTP参数处理图
由于相关的 HTTP RFC 都没有定义 HTTP 参数操作的语义,因此每个 Web 应用程序交付平台可能会以不同的方式处理它。大致汇总如下:
| Technology/HTTP back-end | Overall Parsing Result | Example |
|---|---|---|
| ASP.NET/IIS | All occurrences of the specific parameter | Par1=val1,val2 |
| ASP/IIS | All occurrences of the specific parameter | Par1=val1,val2 |
| PHP/Apache | Last occurrence | Par1=val2 |
| PHP/Zeus | Last occurrence | Par1=val2 |
| Jsp,Servlet/Apache Tomcat | First occurrence | Par1=val1 |
| Jsp,Servlet/Oracle Application Server 10g | First occurrence | Par1=val1 |
| Jsp,Servlet/Jetty | First occurrence | Par1=val1 |
| IBM Lotus Domino | Last occurrence | Par1=val2 |
| IBM HTTP Server | First occurrence | Par1=val1 |
| mod_perl,libapreq2/Apache | First occurrence | Par1=val1 |
| Perl CGI/Apache | First occurrence | Par1=val1 |
| mod_perl,lib???/Apache | Becomes an array | ARRAY(0x8b9059c) |
| mod_wsgi(Python)/Apache | First occurrence | Par1=val1 |
| Python/Zope | Becomes an array | [‘val1’,‘val2’] |
| IceWarp | Last occurrence | Par1=val2 |
| AXIS 2400 | All occurrences of the specific parameter | Par1=val1,val2 |
| Linksys Wireless-G PTZ Internet Camera | Last occurrence | Par1=val2 |
| Ricoh Aficio 1022 Printer | First occurrence | Par1=val1 |
| webcamXP PRO | First occurrence | Par1=val1 |
| DBMan | All occurrences of the specific parameter | Par1=val1~~val2 |
参考:
1、《web安全深部剖析》
2、https://owasp.org/www-pdf-archive/AppsecEU09_CarettoniDiPaola_v0.8.pdf
扫一扫
172
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
