Ponle PAPAS a tu web para que no pique
Las técnicas HPP - HTTP Parameter Pollution – salieron a la luz pública en la presentación que Stefano di Paola y Luca Carettoni dieron en la OWASP de 2009 y en la que añadieron un nuevo vector de ataque a las aplicaciones web. La idea de estas técnicas es tan sencilla como peligrosa.
El objetivo es inyectar nuevos parámetros o duplicar los parámetros existentes, para poder cambiar el comportamiento de una aplicación web. Esto puede ser utilizado para acceder a configuraciones ocultas de una aplicación o saltar filtros de control a la hora de generar exploits entre otras cosas. Esta presentación fue la que nos dio la idea de polucionar cosas, que acabó en las técnicas de Connection String Parameter Pollution.
La historia es que ha salido un proyecto para detectar vulnerabilidades HPP en aplicaciones web haciendo fuzzing a las URLs de una aplicación web y, solo por el nombre, merecía pasar por este blog, pero es que además en él trabaja Carmen Torrano, una joven investigadora del CSIC, especializada en seguridad informática y que hemos tenido el placer de tener en varios eventos, como el Asegúr@IT Camp 2, debatiendo de sus cosas.
El proyecto, del que me avisó cuando se puso online el gran Peter Lagoon, se llama PAPAS, y aunque tiene muy poco tiempo de vida, permite hacer el envío de una URL para que sea procesada según se describe en el paper del motor del sistema: Automated Discovery of Parameter Pollution Vulnerabilities inWeb Applications
Puedes enviar tu URL desde el siguiente formulario: PAPAS Online. De momento el sistema está pensado para que solo los webmasters puedan escanear sus paginas web, por lo que, una vez solicitado el escaneo de un sitio se debe crear un fichero PAPAS.TXT en la raíz del dominio con un token generado para cada sitio.
Desde aquí le deseo mucho éxito al proyecto, y espero que nuestra amiga Carmen cumpla su palabra y nos pase una serie de artículos detallando las técnicas HPP, tal y como me prometió tiempo ha };P
Saludos Malignos!
El objetivo es inyectar nuevos parámetros o duplicar los parámetros existentes, para poder cambiar el comportamiento de una aplicación web. Esto puede ser utilizado para acceder a configuraciones ocultas de una aplicación o saltar filtros de control a la hora de generar exploits entre otras cosas. Esta presentación fue la que nos dio la idea de polucionar cosas, que acabó en las técnicas de Connection String Parameter Pollution.
La historia es que ha salido un proyecto para detectar vulnerabilidades HPP en aplicaciones web haciendo fuzzing a las URLs de una aplicación web y, solo por el nombre, merecía pasar por este blog, pero es que además en él trabaja Carmen Torrano, una joven investigadora del CSIC, especializada en seguridad informática y que hemos tenido el placer de tener en varios eventos, como el Asegúr@IT Camp 2, debatiendo de sus cosas.
El proyecto, del que me avisó cuando se puso online el gran Peter Lagoon, se llama PAPAS, y aunque tiene muy poco tiempo de vida, permite hacer el envío de una URL para que sea procesada según se describe en el paper del motor del sistema: Automated Discovery of Parameter Pollution Vulnerabilities inWeb Applications
Puedes enviar tu URL desde el siguiente formulario: PAPAS Online. De momento el sistema está pensado para que solo los webmasters puedan escanear sus paginas web, por lo que, una vez solicitado el escaneo de un sitio se debe crear un fichero PAPAS.TXT en la raíz del dominio con un token generado para cada sitio.
Desde aquí le deseo mucho éxito al proyecto, y espero que nuestra amiga Carmen cumpla su palabra y nos pase una serie de artículos detallando las técnicas HPP, tal y como me prometió tiempo ha };P
Saludos Malignos!
4 comentarios:
Queremos a Carmen Torrano en el calendario tórrido!
Mmm... interesante proyecto, habrá que hecharle un vistazo más de cerca. También hay q decir que el título me ha gustado mucho jajaja
I love the canary islands!!
IM-PRESIONANTE la tía a la par que de humilde.
Esperando esos artículos!
Muy buen información, gracias por compartirla. He disfrutado mucho leyendo este artículo. Saludos.
Publicar un comentario