İPUCU

Web & Server Güvenliği Doğru web ve veritabanı sunucusu güvenliği sağlanmadan, bilgisayar korsanları hassas verilerinize erişebilir. Web, Sunucu ve veritabanı güvenliğini nasıl sağlayacağınızı buradan öğrenebilirsiniz.

Seçenekler

Yeni Saldırı Yöntemi: Parametre Kirliliği

06-06-2009 11:19
#1
atlas_tr - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
01/2008
Nereden:
NErDe OLsam BEğeNİRsin
Mesajlar:
2.383
Teşekkür (Etti):
19
Teşekkür (Aldı):
189
Konular:
389
Ticaret:
(0) %
Yeni Saldırı Yöntemi: Parametre Kirliliği

Tarih: 21 Mayıs 2009, Per - Yazar: fuzbing - Etiketler:


Son düzenlenen OWASP güvenlik konferansında İtalyan güvenlik uzmanları Luca Carettoni ve Stefano Di Paola geliştirdikleri yeni web saldırı yöntemlerini tanıttılar. HTTP Parametre Kirliliği (HTTP Parameter Pollution - HPP) adı verilen bu yöntem ile birlikte bir çok web uygulaması üzerinde güvenlik tehditleri yaratmak mümkün. Yöntemin temeli GET ve POST isteklerini gönderirken alışılmadık formlarda ve sınırlamalarla yapmak.
Bu yeni yöntem ile birlikte SQL Injection, XSS ya da komut enjeksiyonu gibi saldırı metodları geliştirilebilmekte. Özellikle mevcut güvenlik önlemlerinden filtrelemenin sıkı yapılmaması HPP manipülasyonlarına fırsat doğurmakta.
Örnek olarak aşağıdakine benzer bir istek,

GET /foo?par1=val1&par2=val2 HTTP/1.1
normal şekilde gönderilirken isteğin şu şekilde manipüle edilmesi sunucu tarafında istenmeyen şekilde yorumlanabilir ve güvenlik açıkları doğurabilir;

GET /foo?par1=val1&par1=val2 HTTP/1.1
Yine benzer şekilde Apache ModSecurity aşağıdaki SQL Injection saldırılarından ilkini engelleyebilirken, ikinci satırdaki HPP yöntemiyle değiştirdiğimiz saldırıda etkisiz kalmakta,

/index.aspx?page=select 1,2,3 from table where id=1
/index.aspx?page=select 1&page=2,3 from table where id=1
Güvenlik uzmanları buradaki en büyük zafiyetin “&” ve “;” ayraçlarından geldiğini belirtmekte. Tarayıcı ve güvenlik uygulamaları ise bu yeni atak metoduna karşı filtreleme özelliklerini güçlendirmeli.
Kullanıcı İmzası


Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı