HPP: HTML Parameter Pollution paper

最新推荐文章于 2024-07-22 16:42:40 发布
最新推荐文章于 2024-07-22 16:42:40 发布
阅读量96 收藏
点赞数
文章标签: php python java
原文链接:https://yq.aliyun.com/articles/436399
版权

HPP can be used to create unusual behaviour in applications
Which can typically end up giving weaknesses or possible attack vectors in the application

ASP.NET/IIS:
What it parses: All occurences of a given parameter 
Example: parameter1=value1,value2

ASP/IIS 
What it parses: All occurences of a given parameter 
Example: par1

PHP/Apache 
What it parses: Last occurrence of a given parameter 
Example: parameter1=value2

PHP/Zeus 
What it parses: Last occurence of a given parameter 
Example: parameter1=value2

JSP/Tomcat 
What it parses: First Occurence of given variable 
Example: parameter1=value1

JSP/Oracle server 
What it parses: First occurence of a given variable 
Example: parameter1=value1

JSP/Jetty 
What it parses: First occurence of a given variable 
Example: parameter1=value1

IBM Lotus Domino 
What it parses: Last occurence of a given variable 
Example: parameter1=value2

IBM HTTP 
What it parses: First occurence of given variable 
Example: parameter1=value1

Perl(module),libapreq2/Apache 
What it parses: First occurence of given variable 
Example: parameter1=value1

Perl CGI/Apache 
What it parses: First occurence of given variable 
Example: parameter1=value1

Perl(module),lib?/Apache 
What it parses: Becomes an array 
Example: ARRAY(0x8b9059c)

python(module)/Apache 
What it parses: First occurence of given variable 
Example: parameter1=value1

Python/Zope 
What it parses: Becomes an array 
Example: ['value1','value2']

IceWarp 
What it parses: Last occurence of given variable 
Example: parameter1=value2

DBMan 
What it parses: All occurences of given variable 
Example: parameter1=value1~~value2

Some things HPP can help achieve:

* Gaining knowledge about the webserver and technologies used
* Gaining directory information
* Obfuscating logs with false entries
* Dumping cgi information

And many more things...

The attacks are structed by manipulating how the server processes parameters in the URL
Such as for DBMan:
Entering the url: http://address/cgi-b...
Would dump an error message quoting:



  CGI ERROR

  ----------------------------------------------------------

  Error Message : Debug Information

  Script Location       : location of db.cgi

  Perl Version  : version

  Setup File    : configuration file

  Session ID    : aaaa~~bbbb

  

  Form Variables

  -----------------------------------------------------------

  db            : default

  uid           : aaaa~~bbbb

  

  Environment Variables

  -----------------------------------------------------------

  DOCUMENT_ROOT : document root

  GATEWAY_INTERFACE     : CGI/1.1

 


The use of GET/POST/Cookie may modify expected application behaviors and it can be used to override parameters



So here's an example situation also from AppsecEU09:


This being the source code of the application:




  void private executeBackendRequest(HTTPRequest request){

    String amount=request.getParameter("amount");

    String beneficiary=request.getParameter("recipient");


    HttpRequest("http://backendServer.com/servlet/actions","POST","action=transfer&amount="<font color="red">+amount+</font>"&recipient="<font color="red">+beneficiary</font>);

A malicious user may send a request like:




 http://frontendHost.com/page?amount=1000&recipient=Mat%26action%3dwithdraw


Then, the frontend will build the following back-end request:




 HttpRequest("http://backendServer.com/servlet/actions","POST","action=transfer&amount="+amount+"&recipient="+beneficiary);

Which translates too:




 action=transfer&amount=1000&recipient=Mat&action=withdraw


This can even be used to bypass Web application firewalls:


Whenever the environment concatenates multiple occurrences (e.g. ASP, ASP.NET, DBMan), an aggressor can split the payload


The user would send




 http://mySecureApp/db.cgi?par=<Payload_1>&par=<Payload_2>


This would result in:




 par=<Payload_1>~~<Payload_2>

Being parsed and result in the server running the mal-payload, resulting in mass pwnage



Not only are web application firewalls not safe, but neither is mod_rewrite if not configured correctly!


Badly configured rules:




  RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\.+page\.php.*\HTTP/

  RewriteRule ^page\.php.*$ -[F,L]

  RewriteCond %{REQUEST_FILENAME} !-f

  RewriteCond %{REQUEST_FILENAME} !-d

  RewriteRule ^([^/]+)$ page.php?action=view&page=$1&id=0 [L]

Where

http://address/string

becomes:


http://address/page....

So therefore a hacker could exploit this with:




 http://host/string%26action%3dedit

And the url will be rewritten as:




 http://host/page.php?action=view&page=abc&action=edit&id=0


This can be used in conjunction to bypass current restrictions and perform attacks such as:


* XSS


* FPI


* SQL Injection


* RFI/LFI



And can be furthered to obfuscate logs



Defense



Take into mind:



* Application business logic


* Technology used(PHP, ASP etc)


* Data validation (as usual!)


* Output encoding


* Filtering is the key to defend our systems!


* Don't use HtmlEntities. They're out of context!Instead, apply URL Encoding


* Use strict regexp in URL Rewriting


* Know your application environment!













本文转hackfreer51CTO博客,原文链接:http://blog.51cto.com/pnig0s1992/502451,如需转载请自行联系原作者

weixin_33881041
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTP参数污染(HPP)漏洞
谢公子的博客
06-26 9584
HPP(HTTP参数污染) HPP是HTTP Parameter Pollution的缩写,意为HTTP参数污染。原理:浏览器在跟服务器进行交互的过程中,浏览器往往会在GET/POST请求里面带上参数,这些参数会以 名称-值 对的形势出现,通常在一个请求中,同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的。比如下面这个链接:http://www.baidu.com?...
web渗透测试----32、HTTP Parameter Pollution(HTTP参数污染)
七天
06-22 1937
文章目录一、HPP二、HPP的作用三、HTTP参数处理图 一、HPP HTTP Parameter Pollution即HTTP参数污染,简称HPP。是web容器处理HTTP参数的一种方式。 HTTP 参数污染 (HPP) 是一种 Web 攻击规避技术,允许攻击者通过更改 HTTP 请求以操纵或搜索隐藏信息。这种规避技术基于在具有相同名称的参数的多个实例之间拆分攻击向量。某些环境通过从请求中连接的参数名称的所有实例中获取的值来处理此类请求。 1、例如:HttpPar.php的源码如下: <?php
参数污染漏洞(HPP)挖掘技巧及实战案例全汇总
Restart的博客
09-06 2159
概念: HTTP参数污染,也叫HPP(HTTP Parameter Pollution)。简单地讲就是给一个参数赋上两个或两个以上的值,由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理,而且不同的网站后端做出的处理方式是不同的,从而造成解析错误。 漏洞原理: 通过简单的案例可以说明这种处理的差异: 在不同的搜索引擎中进行搜索,在地址栏输入URL:?p=usa&p=china,这里重复相同搜索参数,观察搜索结果的不同: 1)百度接受第一个参数(usa)而放弃第二个参数(ch
HTTPParameterPollution Lesson for WebGoat
11-07
为WebGoat 5.4增加HTTP参数污染的课程代码
HTTP参数污染
aiquan9342的博客
12-21 518
HTTPParameterPollution简称HPP,所以有的人也称之为“HPP参数污染”。 一篇很不错关于HPP参数污染的文章:http://www.paigu.com/a/33478/23535461.html 如文章中所言,HPP并非一个漏洞,但是网站存在SQL或者XSS,在有WAF的情况之下可以帮助黑客进行绕过WAF。 那么什么是HPP参数污染呢? 假设...
为WebGoat添加课程——HTTP Parameter Pollution
11-07 4626
WebGoat本身有专门一个课程用来介绍如何添加一个新的课程,但是估计是这个课程长期没有人维护的关系,我再使用WebGoat 5.4试图添加一个课程的时候发现有些细节的地方与WebGoat里面介绍的步骤有些不一致或者是WebGoat里面没有提到的,所以把我的步骤记录下来。   我添加的课程是HTTP参数污染(HTTP Parameter Pollution, HPP)这个漏洞相关的课程。关于这
fatal error: zmq.hpp: No such file or directory compilation terminated.
06-04
fatal error: zmq.hpp: No such file or directory compilation terminated. 找不到zmq.hpp的原因是, zmq.hpp只存在master中。 如果你使用release版本,那么是没有zmq.hpp这个文件的。去master中找到zmq.hpp。 将...
invoke.hpp:小时
05-28
invoke.hpp std :: invoke / std :: apply for C ++ 11/14 要求 > = 4.9 > = 3.8 ...invoke_hpp::invoke(F&& f, Args&&... args) 从C ++ 17 std::invoke类似物 invoke_hpp::invoke_result<F
hpp:Haskell预处理器
05-12
hpp是Haskell预处理器,它也是C90兼容的预处理器(添加了-c-compat标志)。 它被打包为库和可执行文件。 要用作Haskell预处理程序来解析#ifdef条件和简单的宏扩展,同时仍允许多行字符串文字,则调用可能看起来像...
HPP:一个学校项目
03-20
HPP:一个学校项目】 HPP,全称为“高等教育项目”,是一个在大学环境中实施的教育计划或课程。这个项目的具体目标可能因学校而异,但通常旨在提供一种实践性的学习体验,让学生能够运用他们在课堂上学到的理论...
VulkanMemoryAllocator-Hpp:VulkanMemoryAllocator 的 C++ 绑定
05-29
VulkanMemoryAllocator-Hpp 这些绑定使用来自Vulkan-Hpp所有方便的东西:包装类、类型安全枚举、 std::vector s、 Optional等。它们是由Vulkan-Hpp使用的生成器生成的,这就是它们看起来如此相似的原因。 当前 VMA...
HPP——让所有中小企业拥有自己的APP
uikoo9的专栏
11-05 4425
HPP hybirdApp或者hbuilderApp, 指通过html,css,js语言开发出ios和android两个版本的APP, 开发效率成倍上升,开发时间大幅缩减,开发成本同样也大大缩减。 移动互联网时代,还有多少中小公司没有自己的app,原因何在? 1.中小公司有多少? 这个都不需要引用相关数据,想想一句话就明白了, “一将功成万骨枯”,这句话同样适合创业者,普通人
Web应用里的HTTP参数污染(HPP)漏洞
热门推荐
09-08 2万+
HPP是HTTP Parameter Pollution的缩写。这个漏洞由S. di Paola 与L. Caret Toni在2009年的OWASP上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行客户端或者服务器端的攻击。下面对这个漏洞的原理做一下详细解释。   首先讲下HTTP的参数处理
BUUCTF [WUSTCTF2020]朴实无华
最新发布
weixin_73399382的博客
07-22 275
第一块就是intval函数的绕过,逻辑上是不存在小于2020又大于2021的数,但是php低版本好像是7点多和以下该函数对不同类型的数据处理有偏差,第二处则是md5函数绕过,
PHP项目开发流程概述
api77的博客
07-19 532
需求分析是项目开发的起始点,主要目的是明确项目的目标、功能需求、用户群体等。这一阶段通常通过用户访谈、市场调研、竞品分析等方式进行。
深入理解Linux网络(一):内核如何接收网络包
又见南风的博客
07-18 905
在上⾯的代码中跟踪函数调⽤, __igb_open => igb_request_irq => igb_request_msix , 在 igb_request_msix 中我们看到了,对于多队列的⽹卡,为每⼀个队列都注册了中断,其对应的中断处理函数是 igb_msix_ring(该函数也在 drivers/net/ethernet/intel/igb/igb_main.c 下)。如协议注册⼩节看到 inet_protos 中保存着 tcp_v4_rcv() 和 udp_rcv() 的函数地址。
Ubuntu 查询未更新的包 进行手动更新
小婷
07-19 217
lsb_release -a 查询ubuntu的版本号,我这边是20.04。apt list --upgradable 查询未更新的包。中间遇到输入选择,输入y即可。
[web]-反序列化-绕过__wakeup(转)
mails2008的专栏
07-18 404
终点:很直接是echo $flag,在__destruct中,username==='admin' 和 password==100。反序列化过程中发现起点在终点之前调用,反而是捣乱的,那我们就不需要自动执行__wakeup,绕过的方法,设置的字段数量比实际字段大的值。其实简单的很简单,难得也很难,慢慢学习就好,没必要焦虑,觉得很难,纯粹一个兴趣爱好就行。起点:_wakeup函数中是$this->username='guest',是给赋值;按照常规思路,寻找起点、终点、跳板。
Linux(CentOS7)部署PHP-7.2.17源码包
thetender的博客
07-18 1141
LAMP系统安装 通过PHP的源码包部署PHP-7.2.17版本
pcl fatal error: flann.hpp:
09-17
pcl fatal error: flann.hpp 是指在使用 PCL(Point Cloud Library)时遇到了关于 flann.hpp 的致命错误。 flann.hpp 是用于实现快速近似最近邻搜索的库文件,它是 PCL 中一个重要的组件。在使用 PCL 进行点云处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值