édito

Bienvenue sur ce blog, point de chute des différentes informations ayant trait à la sécurité ou à la filière STI de l'ensib et remontées aux ensibiens par un désormais ingénieur sécurité junior (et oui, c'est la 3A).
Si d'autres ensibiens dans le cadre d'une veille liée à leur job [ou pas...] veulent remonter des infos qu'ils jugent susceptibles d'intéresser notre filière, n'hésitez pas à me contacter pour contribuer :)

- PiWi -    


jeudi 16 juillet 2009

le HPP késako?

Certain d'entre vous on peut etre entendu parler de HPP ou non abrégé de HTTP parameter pollution. Derrière ce nom évocateur se cache le principe tout simple de passer plusieurs valeur pour un même paramètre.
  • par exemple quel est le résultat d'une requete get de mapage.php?id=valeur1&id=valeur2?
Justement il est très variable et si l'idée de mettre plusieurs valeurs pour un même paramètre avait déjà été évoquée, de réelles attaques n'avaient pas été mises en pratique. C'est depuis quelques temps chose faite, un labo (minded security) a pris le temps de comparer les comportements de différentes solutions et les résultats sont plutôt intéressant et parfois tout à fait exploitables.

le blog de minded security sur le sujet. il y a un PDF explicatif et dans les commentaires un lien vers des vidéos de proof of concept sur yahoo

(une explication plus détaillée sur le fonctionnement sera faite prochainement sur le wiki)
Publié par
Libellés : , ,

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)