Facebook e siti Web a rischio vulnerabilità HTTP Parameter Pollution

I siti Web negli ultimi anni si sono fatti sempre più interattivi, tramutandosi forma, da semplici pagine statiche, in delle applicazioni complesse e dinamiche. Questo ha portato dei grandi vantaggi agli utenti, in termini di piacevolezza e completezza dell’esperienza di navigazione, ma ha anche reso i siti stessi molto più vulnerabili sotto il profilo della sicurezza. Alcune delle principali falle di sicurezza sono ben note e studiate, altre non hanno finora ricevuto la stessa attenzione. Un giovane studioso italiano che lavora in Francia, all’istituto di ricerca Eurecom, Marco Balduzzi, ha presentato settimana scorsa alla conferenza «Black hat» di Barcellona, assieme a tre colleghi un rapporto che analizza appunto una delle vulnerabilità meno considerate, la «Http Parameter Pollution (Hpp)» che, come Balduzzi ha dimostrato analizzando 5.000 domini Internet popolari di Alexa, grazie a un sistema di scanning automatizzato creato ad hoc, è presente nel 30 % dei siti. L'HTTP Parameter Pollution (HPP) rappresenta una nuova classe di problemi per le applicazioni web. Una vulnerabilità  HPP permette ad un aggressore di iniettare un parametro (e il suo valore) all'interno dell'URL generato dall'applicazione. Come qualcuno saprà, il 14 maggio @ OWASP AppSec Polonia 2009, CTO Minded Security* e Stefano di Paola hanno presentato una nuova categoria di attacco chiamata HTTP Parameter Pollution (HPP). Gli attacchi HPP possono essere definiti come la possibilità di modificare o aggiungere parametri HTTP GET / POST iniettando delimitatori di stringa di query. Possono colpire tutte le tecnologie web quindi server-side e client-side. Le conseguenze dell'attacco dipendono dalla logica dell'applicazione, e può variare da un semplice fastidio a una corruzione totale del comportamento dell'applicazione. In altre parole, quasi un sito su tre, tramite dei link creati ad hoc, che vanno a rimpiazzare una delle variabili gestita dalle pagine, può essere indotto a comportarsi in maniera anomala. Le conseguenze possono essere l’invio di un post sulla propria pagina Facebook, cliccando per esempio su un link che in teoria doveva servire ad altro.

Http Parameter Pollution, a new category of web attacks

View more presentations from Wisec

Oppure, nei casi più gravi, si può giungere alla modifica fraudolenta della scelta di un utente in un sondaggio online, fino alla completa compromissione delle funzionalità di un sito di e-commerce, cambiando il prezzo di una merce in vendita. «Se controlli i parametri - ha spiegato Balduzzi a Forbes - puoi fare qualsiasi cosa». Sebbene l'HTML Parameter Pollution fu rivelato come una vulnerabilità due anni fa, Balduzzi ha creato uno strumento che individua i bug sul Web con uno scanner che egli chiama Parameter Pollution Analysis System, o PAPAS. Dallo scanning automatizzato messo a punto dai quattro ricercatori, è risultato che anche domini appartenenti a grandi entità del Web come Google, Facebook, Microsoft e Symantec potrebbero soccombere a un attacco di «parameter pollution», il che, a giudizio degli studiosi conferma come il problema sia stato finora sottostimato. «Per ora non si conoscono casi in cui la vulnerabilità Hpp sia stata sfruttata - afferma il giovane scienziato italiano - ma è solo questione di tempo. Gli sviluppatori Web devono diventare consapevoli della sua esistenza e scrivere il codice in maniera sicura. Altrimenti, prima o poi, qualcuno ne approfitterà». Balduzzi, classe 1982, è originario di Seriate e si è laureato all’Università di Bergamo. Dopo esperienze in Norvegia in Germania, e il lavoro come consulente di sicurezza informatica per aziende italiane e straniere, è approdato nel 2008 all’Eurecom, dove sta svolgendo il dottorato di ricerca. A questa pagina potete inviare il vostro sito per essere testato gratuitamente da PAPAS. Il sistema automatico analizzerà la vostra domanda e invierà un rapporto in formato HTML quando la scansione sarà completata.  PAPAS rappresenta il primo e unico sistema per rilevare in tempo reale problemi HPP in siti internet. Il sistema funziona attraverso la scansione dell'applicazione e il controllo di ogni pagina con un meccanismo fuzzing intelligente per scoprire eventuali iniezioni nei collegamenti e forms. Con questa iniziativa ci si augura di sensibilizzare e richiamare l'attenzione sul problema HPP. La documentazione completa in formato .PDF è disponibile a questo indirizzo.

* Minded Security è un operatore dell'informazione globale di protezione focalizzato sulla sicurezza delle applicazioni.

Via: La Stampa