Contaminación de Parámetros | Inyección JSON

Contaminación de Parámetros

Resumen de Contaminación de Parámetros HTTP (HPP)

La Contaminación de Parámetros HTTP (HPP) es una técnica donde los atacantes manipulan parámetros HTTP para cambiar el comportamiento de una aplicación web de maneras no intencionadas. Esta manipulación se realiza añadiendo, modificando o duplicando parámetros HTTP. El efecto de estas manipulaciones no es directamente visible para el usuario, pero puede alterar significativamente la funcionalidad de la aplicación en el lado del servidor, con impactos observables en el lado del cliente.

Ejemplo de Contaminación de Parámetros HTTP (HPP)

Una URL de transacción de una aplicación bancaria:

• URL Original: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000

Al insertar un parámetro from adicional:

• URL Manipulada: https://www.victim.com/send/?from=accountA&to=accountB&amount=10000&from=accountC

La transacción puede ser incorrectamente cargada a accountC en lugar de accountA, mostrando el potencial de HPP para manipular transacciones u otras funcionalidades como restablecimientos de contraseña, configuraciones de 2FA o solicitudes de claves API.

Análisis de Parámetros Específicos de Tecnología

• La forma en que se analizan y priorizan los parámetros depende de la tecnología web subyacente, afectando cómo se puede explotar HPP.
• Herramientas como Wappalyzer ayudan a identificar estas tecnologías y sus comportamientos de análisis.

Explotación de HPP en PHP

Caso de Manipulación de OTP:

• Contexto: Se explotó un mecanismo de inicio de sesión que requería una Contraseña de Un Solo Uso (OTP).
• Método: Al interceptar la solicitud de OTP utilizando herramientas como Burp Suite, los atacantes duplicaron el parámetro email en la solicitud HTTP.
• Resultado: El OTP, destinado al correo electrónico inicial, fue enviado en su lugar a la segunda dirección de correo electrónico especificada en la solicitud manipulada. Este defecto permitió el acceso no autorizado al eludir la medida de seguridad prevista.

Este escenario destaca una falla crítica en el backend de la aplicación, que procesó el primer parámetro email para la generación de OTP, pero utilizó el último para la entrega.

Caso de Manipulación de Clave API:

• Escenario: Una aplicación permite a los usuarios actualizar su clave API a través de una página de configuración de perfil.
• Vector de Ataque: Un atacante descubre que al añadir un parámetro api_key adicional a la solicitud POST, puede manipular el resultado de la función de actualización de la clave API.
• Técnica: Utilizando una herramienta como Burp Suite, el atacante elabora una solicitud que incluye dos parámetros api_key: uno legítimo y uno malicioso. El servidor, procesando solo la última ocurrencia, actualiza la clave API al valor proporcionado por el atacante.
• Resultado: El atacante obtiene control sobre la funcionalidad API de la víctima, potencialmente accediendo o modificando datos privados sin autorización.

Este ejemplo subraya aún más la necesidad de un manejo seguro de parámetros, especialmente en características tan críticas como la gestión de claves API.

Análisis de Parámetros: Flask vs. PHP

La forma en que las tecnologías web manejan parámetros HTTP duplicados varía, afectando su susceptibilidad a ataques HPP:

• Flask: Adopta el primer valor de parámetro encontrado, como a=1 en una cadena de consulta a=1&a=2, priorizando la instancia inicial sobre los duplicados posteriores.
• PHP (en Apache HTTP Server): Por el contrario, prioriza el último valor de parámetro, optando por a=2 en el ejemplo dado. Este comportamiento puede facilitar inadvertidamente los exploits de HPP al honrar el parámetro manipulado por el atacante sobre el original.

Contaminación de parámetros por tecnología

Los resultados fueron tomados de https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89

PHP 8.3.11 Y Apache 2.4.62

1. Ignorar cualquier cosa después de %00 en el nombre del parámetro.
2. Manejar name[] como un array.
3. _GET no significa método GET.
4. Preferir el último parámetro.

Ruby 3.3.5 y WEBrick 1.8.2

1. Utiliza los delimitadores & y ; para dividir parámetros.
2. No se reconoce name[].
3. Preferir el primer parámetro.

Spring MVC 6.0.23 Y Apache Tomcat 10.1.30

1. POST RequestMapping == PostMapping & GET RequestMapping == GetMapping.
2. POST RequestMapping & PostMapping reconocen name[].
3. Preferir name si name Y name[] existen.
4. Concatenar parámetros e.g. first,last.
5. POST RequestMapping & PostMapping reconocen parámetros de consulta con Content-Type.

NodeJS 20.17.0 Y Express 4.21.0

1. Reconocido name[].
2. Concatenar parámetros e.g. first,last.

GO 1.22.7

1. NO se reconoce name[].
2. Preferir el primer parámetro.

Python 3.12.6 Y Werkzeug 3.0.4 Y Flask 3.0.3

1. NO se reconoce name[].
2. Preferir el primer parámetro.

Python 3.12.6 Y Django 4.2.15

1. NO se reconoce name[].
2. Preferir el último parámetro.

Python 3.12.6 Y Tornado 6.4.1

1. NO se reconoce name[].
2. Preferir el último parámetro.

Inyección JSON

Claves duplicadas

obj = {"test": "user", "test": "admin"}

El front-end podría creer la primera ocurrencia mientras que el backend utiliza la segunda ocurrencia de la clave.

Colisión de Claves: Truncamiento de Caracteres y Comentarios

Ciertos caracteres no serán interpretados correctamente por el frontend, pero el backend los interpretará y utilizará esas claves, esto podría ser útil para eludir ciertas restricciones:

{"test": 1, "test\[raw \x0d byte]": 2}
{"test": 1, "test\ud800": 2}
{"test": 1, "test"": 2}
{"test": 1, "te\st": 2}

Nota cómo en estos casos el front end podría pensar que test == 1 y el backend pensará que test == 2.

Esto también se puede usar para eludir restricciones de valor como:

{"role": "administrator\[raw \x0d byte]"}
{"role":"administrator\ud800"}
{"role": "administrator""}
{"role": "admini\strator"}

Uso de la truncación de comentarios

obj = {"description": "Duplicate with comments", "test": 2, "extra": /*, "test": 1, "extra2": */}

Aquí utilizaremos el serializador de cada parser para ver su respectiva salida.

Serializer 1 (por ejemplo, la biblioteca GoJay de GoLang) producirá:

• description = "Duplicate with comments"
• test = 2
• extra = ""

Serializer 2 (por ejemplo, la biblioteca JSON-iterator de Java) producirá:

• description = "Duplicate with comments"
• extra = "/*"
• extra2 = "*/"
• test = 1

Alternativamente, el uso directo de comentarios también puede ser efectivo:

obj = {"description": "Comment support", "test": 1, "extra": "a"/*, "test": 2, "extra2": "b"*/}

La biblioteca GSON de Java:

{ "description": "Comment support", "test": 1, "extra": "a" }

La biblioteca simdjson de Ruby:

{ "description": "Comment support", "test": 2, "extra": "a", "extra2": "b" }

Precedencia Inconsistente: Deserialización vs. Serialización

obj = {"test": 1, "test": 2}

obj["test"] // 1
obj.toString() // {"test": 2}

Float e Integer

El número

999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999

puede ser decodificado a múltiples representaciones, incluyendo:

999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999999
9.999999999999999e95
1E+96
0
9223372036854775807

Lo que podría crear inconsistencias

Referencias

• https://medium.com/@shahjerry33/http-parameter-pollution-its-contaminated-85edc0805654
• https://github.com/google/google-ctf/tree/master/2023/web-under-construction/solution
• https://medium.com/@0xAwali/http-parameter-pollution-in-2024-32ec1b810f89
• https://bishopfox.com/blog/json-interoperability-vulnerabilities