Http Parameter Contamination / Research paper

Ivan · 01. 07. 2011.

Citat:

HTTP PARAMETER CONTAMINATION (HPC) original idea comes from the innovative approach found in HPP research by exploring deeper and exploiting strange behaviors in Web Server components, Web Applications and Browsers as a result of query string parameter contamination with reserved or non expected characters.

Dokument: http://netsec.rs/files/Http%20Parame...ovic%20NSS.pdf

Komentari, ideje, ispravke ?

Miroslav Ćurčić · 01. 07. 2011.

1. Standardizuj terminologiju, dali je 'contamination' ili 'polution', naslov na početku stranice 2 je dobar primer gde se vidi da opis ne odgovara skraćenici.

2. Većina PDF me kao developera uopšte ne brine, jer me ne interesuje dali je neko stavljao u URL test.1 ili test[1 ili neku treću varijantu (strana 4), kad ja čitam $_GET['test_1']. Kontaminacija vrednosti parametara je već druga, velika oblast, i dovoljno je prežvakana.

3. Nekonzistantnost kod procesiranja dupliranih ključeva je novost za mene, hvala.

4. Real world primeri baš i nisu real world, izuzetno retko ćeš naići na sajtove koji koriste te apache module.

Ivan · 01. 07. 2011.

1. Istrazivanje je o HPC, a ideja je nastala od HPP. Bila je greska u skacenici u nazivu, hvala

2. Postoji mnogo slucajeva gde parametri nisu prethodno definisani ili se oslanjaju na WAF kao zastitu, a tu HPC moze da se primeni. Svakako, disciplinovano programiranje bi redukovalo broj security propusta.

3. Istrazivanje od pre dve godine koje je i mene inspirisalo.

4. Mod_Security je modul za Apache i prva security barijera za napade na web aplikacije. URLScan takodje samo za MS platformu. Ne bi rekao da je retkost ...

HPC jos uvek nije precizno definisan, ovo su prvi rezultati. Istrazivanje ce se nastaviti i to posebno nad poznatim web servisima / aplikacijama.

01. 07. 2011.	#2
Miroslav Ćurčić mV Certified Datum učlanjenja: 22.08.2009 Lokacija: Novi Sad Poruke: 67 Hvala: 0 16 "Hvala" u 13 poruka	1. Standardizuj terminologiju, dali je 'contamination' ili 'polution', naslov na početku stranice 2 je dobar primer gde se vidi da opis ne odgovara skraćenici. 2. Većina PDF me kao developera uopšte ne brine, jer me ne interesuje dali je neko stavljao u URL test.1 ili test[1 ili neku treću varijantu (strana 4), kad ja čitam $_GET['test_1']. Kontaminacija vrednosti parametara je već druga, velika oblast, i dovoljno je prežvakana. 3. Nekonzistantnost kod procesiranja dupliranih ključeva je novost za mene, hvala. 4. Real world primeri baš i nisu real world, izuzetno retko ćeš naići na sajtove koji koriste te apache module. __________________ Quis custodiet ipsos custodies ?

01. 07. 2011.	#3
Ivan Psychedelictrance freak Wrote a book Datum učlanjenja: 04.06.2006 Lokacija: Srbija, Beograd Poruke: 1.008 Hvala: 325 933 "Hvala" u 34 poruka	1. Istrazivanje je o HPC, a ideja je nastala od HPP. Bila je greska u skacenici u nazivu, hvala 2. Postoji mnogo slucajeva gde parametri nisu prethodno definisani ili se oslanjaju na WAF kao zastitu, a tu HPC moze da se primeni. Svakako, disciplinovano programiranje bi redukovalo broj security propusta. 3. Istrazivanje od pre dve godine koje je i mene inspirisalo. 4. Mod_Security je modul za Apache i prva security barijera za napade na web aplikacije. URLScan takodje samo za MS platformu. Ne bi rekao da je retkost ... HPC jos uvek nije precizno definisan, ovo su prvi rezultati. Istrazivanje ce se nastaviti i to posebno nad poznatim web servisima / aplikacijama. __________________ Testiranje bezbednosti web aplikacija