2.6 CVE-2004-0473

Um adversário manipula o conteúdo dos parâmetros de solicitação com o objetivo de minar a segurança do alvo. Algumas codificações de parâmetros usam caracteres de texto como separadores. Por exemplo, parâmetros em uma mensagem HTTP GET são codificados como pares nome-valor separado por um ampersand (&). Se um atacante pode fornecer cadeias de texto que são usadas para preencher esses parâmetros, então eles podem injetar caracteres especiais usados no esquema de codificação para adicionar ou modificar parâmetros. Por exemplo, se a entrada do usuário é alimentada diretamente em uma solicitação HTTP GET e o usuário fornece o valor "myInput&new_param=myValue", então o parâmetro de entrada é definido como myInput, mas um novo parâmetro (new_param) também é adicionado com um valor de myValue. Isto pode alterar significativamente o significado da consulta que é processada pelo servidor. Qualquer esquema de codificação onde os parâmetros são identificados e separados por caracteres de texto é potencialmente vulnerável a este ataque - a codificação HTTP GET usada acima é apenas um exemplo.

Um adversário tira vantagem da validação inadequada de dados para injetar parâmetros globais maliciosos em um arquivo Flash embutido em um documento HTML. Os arquivos Flash podem aproveitar os dados enviados pelo usuário para configurar o documento Flash e acessar o documento HTML incorporado. Usando um navegador ou uma ferramenta automatizada, um adversário registra todas as instâncias de documentos HTML que têm arquivos Flash incorporados. Se houver um arquivo Flash incorporado, eles listam como passar parâmetros globais para o arquivo Flash a partir do objeto incorporado. Determinar a susceptibilidade da aplicação à injeção do parâmetro Flash] Determinar a susceptibilidade da aplicação à injeção do parâmetro Flash. Para cada URL identificado na fase Explore, o adversário tenta usar várias técnicas como DOM baseado, refletido, flashvars e ataques persistentes, dependendo do tipo de parâmetro passado para o arquivo Flash incorporado. [Execute Flash Parameter Injection Attack] Injectar parâmetros no arquivo Flash. Com base nos resultados da fase Experimentar, o adversário elabora o URL malicioso subjacente contendo os parâmetros do Flash injetado e o envia para o servidor web. Assim que o servidor web receber o pedido, o documento HTML incorporado será controlável pelo adversário.

Este tipo de ataque envolve um atacante alavancando meta-caracteres em cabeçalhos de e-mail para injetar comportamento impróprio em programas de e-mail. O software de e-mail tem se tornado cada vez mais sofisticado e rico em recursos. Além disso, os aplicativos de e-mail são onipresentes e conectados diretamente à Web, tornando-os alvos ideais para lançar e propagar ataques. À medida que a demanda do usuário por novas funcionalidades em aplicativos de e-mail cresce, eles se tornam mais parecidos com navegadores com renderização complexa e rotinas de plug-in. À medida que mais funcionalidades de e-mail são incluídas e abstraídas do usuário, isso cria oportunidades para os atacantes. Praticamente todos os aplicativos de e-mail não listam informações de cabeçalho de e-mail por padrão, porém o cabeçalho de e-mail contém vetores atacantes valiosos para o atacante explorar, particularmente se o comportamento do aplicativo cliente de e-mail for conhecido. Meta-caracteres são escondidos do usuário, mas podem conter scripts, enumerações, sondas e outros ataques contra o sistema do usuário. Identificar e caracterizar vulnerabilidades de processamento de meta-caracteres em cabeçalhos de e-mail] Um atacante cria e-mails com cabeçalhos contendo várias cargas úteis maliciosas baseadas em meta-caracteres para determinar se a aplicação alvo processa o conteúdo malicioso e de que forma o faz. Um atacante aproveita as vulnerabilidades identificadas durante a Fase de Experimentação para injetar cabeçalhos de e-mail maliciosos e fazer com que a aplicação de e-mail visada exiba comportamento fora de suas restrições esperadas.

Um adversário adiciona parâmetros HTTP GET/POST duplicados, injetando delimitadores de query string. Através de HPP pode ser possível sobrepor parâmetros HTTP hardcoded existentes, modificar os comportamentos da aplicação, acessar e, potencialmente explorar, variáveis incontroláveis e ignorar pontos de verificação de validação de entrada e regras WAF. O adversário encontra em qualquer parte da aplicação web que utiliza o input fornecido pelo usuário em uma forma ou ação. Isto também pode ser encontrado olhando os parâmetros na URL na barra de navegação do navegador [Add Duplicate Parameter Values] Uma vez que o adversário tenha identificado qual input do usuário é usado como parâmetro HTTP, ele irá adicionar duplicatas a cada parâmetro, uma a uma, para observar os resultados. Se a resposta da solicitação HTTP mostrar o valor do parâmetro duplicado concatenado com o valor do parâmetro original de alguma forma, ou simplesmente o valor do parâmetro duplicado, então HPP é possível. Uma vez que o adversário tenha identificado como o backend lida com os parâmetros duplicados, eles irão aproveitar isso poluindo os parâmetros de uma forma que os beneficie. Em alguns casos, os parâmetros hardcoded serão desconsiderados pelo backend. Em outros, o adversário pode contornar um WAF que pode apenas verificar um parâmetro antes que ele tenha sido concatenado pelo backend, resultando em consultas maliciosas.

Neste tipo de ataque, um adversário injeta comandos do sistema operacional em funções existentes da aplicação. Uma aplicação que usa entrada não confiável para construir strings de comando é vulnerável. Um adversário pode alavancar a injeção de comandos do SO em uma aplicação para elevar privilégios, executar comandos arbitrários e comprometer o sistema operacional subjacente. O atacante determina o input controlável pelo usuário que é passado como parte de um comando para o sistema operacional subjacente. O atacante faz o levantamento da aplicação alvo, possivelmente como um usuário válido e autenticado [Variar entradas, procurando por resultados maliciosos]. Dependendo se a aplicação a ser explorada é remota ou local, o atacante cria a entrada maliciosa apropriada, contendo comandos do SO, para ser passada para a aplicação [Executar comandos maliciosos] O atacante pode roubar informações, instalar um mecanismo de acesso de porta traseira, elevar privilégios ou comprometer o sistema de alguma outra forma.