Ataques de Connection String Parameter Pollution (CSPP) consistem em injetar parâmetros de cadeia de conexão em outros parâmetros existentes. Essa vulnerabilidade é semelhante a outras vulnerabilidades, e é talvez mais bem conhecida que, em ambientes HTTP nos quais a poluição de parâmetros também pode ocorrer. No entanto, também pode se aplicar a outros lugares, como cadeias de conexão do banco de dados. Se um aplicativo não limpar a entrada do usuário adequadamente, um usuário malicioso poderá comprometer a lógica do aplicativo para executar ataques: de roubo de credenciais até a recuperação de todo o banco de dados. Enviando parâmetros adicionais com o mesmo nome que um parâmetro existente para um aplicativo, o banco de dados pode reagir de uma das seguintes maneiras:

Pode usar apenas os dados do primeiro parâmetro
Pode usar os dados do último parâmetro
Pode usar os dados de todos os parâmetros e concatená-los juntos

Isso depende do driver usado, do tipo de banco de dados ou até mesmo de como as APIs são usadas.


Exemplo 1: Este código usa entradas de uma solicitação HTTP para se conectar a um banco de dados:

    ...
    password := request.FormValue("db_pass")
    db, err := sql.Open("mysql", "user:" + password + "@/dbname")
    ...

Neste exemplo, o programador não considerou que um invasor poderia fornecer um parâmetro db_pass, como:
"xxx@/attackerdb?foo=" então a cadeia de conexão se torna:

"user:xxx@/attackerdb?foo=/dbname"

Isso fará com que o aplicativo se conecte a um banco de dados controlado pelo invasor, permitindo que ele controle quais dados são retornados ao aplicativo.

Ataques de Connection String Parameter Pollution (CSPP) consistem em injetar parâmetros de cadeia de conexão em outros parâmetros existentes. Essa vulnerabilidade é semelhante a outras vulnerabilidades, e é talvez mais bem conhecida que, em ambientes HTTP nos quais a poluição de parâmetros também pode ocorrer. No entanto, também pode se aplicar a outros lugares, como cadeias de conexão do banco de dados. Se um aplicativo não limpar a entrada do usuário adequadamente, um usuário malicioso poderá comprometer a lógica do aplicativo para executar ataques: de roubo de credenciais até a recuperação de todo o banco de dados. Ao enviar parâmetros adicionais para uma aplicativo, e se esses parâmetros tiverem o mesmo nome de um parâmetro existente, a conexão de banco de dados poderá reagir de uma das seguintes maneiras:

Ela poderá obter apenas os dados do primeiro parâmetro
Poderá obter os dados do último parâmetro
Poderá obter os dados de todos os parâmetros e concatená-los

Isto pode depender da unidade utilizada, do tipo de base de dados, ou mesmo de como as APIs são utilizadas.

Exemplo 1: Este código usa entradas de uma solicitação HTTP para se conectar a um banco de dados:

username = req.field('username')
password = req.field('password')
...
client = MongoClient('mongodb://%s:%s@aMongoDBInstance.com/?ssl=true' % (username, password))
...

Neste exemplo, o programador não considerou que um invasor poderia fornecer um parâmetro password, como:
"myPassword@aMongoDBInstance.com/?ssl=false&", em seguida, a string de conexão se torna (considerando um nome de usuário "scott"):

"mongodb://scott:myPassword@aMongoDBInstance.com/?ssl=false&@aMongoDBInstance.com/?ssl=true"

Isso fará com que "@aMongoDBInstance.com/?ssl=true" seja tratado como um argumento inválido adicional, ignorando "ssl=true" e conectando-se ao banco de dados sem criptografia.

Ataques de Connection String Parameter Pollution (CSPP) consistem em injetar parâmetros de cadeia de conexão em outros parâmetros existentes. Essa vulnerabilidade é semelhante a outras vulnerabilidades, e é talvez mais bem conhecida que, em ambientes HTTP nos quais a poluição de parâmetros também pode ocorrer. No entanto, também pode se aplicar a outros lugares, como cadeias de conexão do banco de dados. Se um aplicativo não limpar a entrada do usuário adequadamente, um usuário malicioso poderá comprometer a lógica do aplicativo para executar ataques: de roubo de credenciais até a recuperação de todo o banco de dados. Ao enviar parâmetros adicionais para uma aplicativo, e se esses parâmetros tiverem o mesmo nome de um parâmetro existente, a conexão de banco de dados poderá reagir de uma das seguintes maneiras:

Ela poderá obter apenas os dados do primeiro parâmetro
Poderá obter os dados do último parâmetro
Poderá obter os dados de todos os parâmetros e concatená-los

Isto pode depender da unidade utilizada, do tipo de base de dados, ou mesmo de como as APIs são utilizadas.

Exemplo 1: Este código usa entradas de uma solicitação HTTP para se conectar a um banco de dados:

hostname = req.params['host'] #gets POST parameter 'host'
...
conn = PG::Connection.new("connect_timeout=20 dbname=app_development user=#{user} password=#{password} host=#{hostname}")
...

Neste exemplo, o programador não considerou que um invasor poderia fornecer um parâmetro host, como:
"myevilsite.com%20port%3D4444%20sslmode%3Ddisable", então a cadeia de conexão se tornaria (supondo-se um nome de usuário "scott" e senha "5up3RS3kR3t"):

"dbname=app_development user=scott password=5up3RS3kR3t host=myevilsite.com port=4444 sslmode=disable"

Isso realizará uma pesquisa por "myevilsite.com" e de conectará ao banco de dados na porta 4444, desabilitando o SSL. Isso significa que o invasor poderia roubar as credenciais do usuário "scott" e depois usá-las para executar um ataque intermediário entre a máquina dele e o banco de dados real, ou apenas acessar o banco de dados real e realizar consultas no diretamente nele.

Vulnerabilidades de XSS (cross-site scripting) ocorrem quando:

1. Dados entram em um aplicativo Web através de uma fonte não confiável. No caso da XSS refletida, a fonte não confiável é tipicamente uma solicitação da Web, enquanto, no caso da XSS persistente (também conhecida como armazenada), essa fonte é tipicamente um banco de dados ou outro repositório de dados back-end.


2. Os dados são incluídos no conteúdo dinâmico enviado a um usuário da Web sem validação.

O conteúdo mal-intencionado enviado ao navegador web geralmente assume a forma de um segmento JavaScript, mas também pode incluir HTML, Flash ou qualquer outro tipo de código que o navegador executa. A variedade de ataques com base em XSS é quase ilimitada, mas costuma incluir a transmissão de dados privados, como cookies ou outras informações de sessão, para o invasor, o redirecionamento da vítima para um conteúdo web controlado pelo invasor ou a realização de outras operações mal-intencionadas na máquina do usuário, sob a aparência do site vulnerável.

O conteúdo mal-intencionado enviado para o navegador da Web muitas vezes assume a forma de um segmento de JavaScript, mas também podem incluir HTML, Flash ou qualquer outro tipo de código que esse navegador executa. A variedade de ataques com base em XSS é quase ilimitada, mas costuma incluir a transmissão de dados privados, como cookies ou outras informações de sessão, para o invasor, o redirecionamento da vítima para um conteúdo da Web controlado pelo invasor ou a realização de outras operações mal-intencionadas na máquina do usuário, sob a aparência do site vulnerável.

Para o navegador renderizar a resposta como HTML ou outro documento que possa executar scripts, ele deve especificar um tipo MIME text/html. Portanto, o XSS só será possível se a resposta usar esse tipo MIME ou qualquer outro que também force o navegador a renderizar a resposta como HTML ou outro documento que possa executar scripts, como imagens SVG. (image/svg+xml), documentos XML (application/xml), etc.
A maioria dos navegadores modernos não renderiza HTML, nem executa scripts quando recebe uma resposta com tipos MIME, como application/json. No entanto, alguns navegadores, como o Internet Explorer, executam o que é conhecido como Content Sniffing. O Content Sniffing envolve ignorar o tipo MIME fornecido e tentar inferir o tipo MIME correto pelo conteúdo da resposta.Vale a pena notar, no entanto, que um tipo MIME de text/html é apenas um tipo MIME que pode levar a vulnerabilidades de XSS. Outros documentos que podem executar scripts, como imagens SVG (image/svg+xml), documentos XML (application/xml), assim como outros, podem levar a vulnerabilidades de XSS, independentemente de o navegador executar o Content Sniffing.

Portanto, uma resposta, como <html><body><script>alert(1)</script></body></html>, poderia ser renderizada como HTML, mesmo se o cabeçalho content-type estiver definido como application/json.

Exemplo 1: A função AWS Lambda a seguir reflete os dados do usuário em uma resposta application/json.

def mylambda_handler(event, context):
    name = event['name']
    response = {
        "statusCode": 200,
        "body": "{'name': name}",
        "headers": {
            'Content-Type': 'application/json',
        }
    }
    return response

Se um invasor enviar uma solicitação com o parâmetro name definido como <html><body><script>alert(1)</script></body></html>, o servidor produzirá a seguinte resposta:

HTTP/1.1 200 OK
Content-Length: 88
Content-Type: application/json
Connection: Closed

{'name': '<html><body><script>alert(1)</script></body></html>'}

Mesmo assim, a resposta afirma claramente que deve ser tratada como um documento JSON, um navegador antigo ainda pode tentar processá-lo como um documento HTML, tornando-o vulnerável a um ataque de Cross-Site Scripting.

Vulnerabilidades de XSS (Cross-Site Scripting) ocorrem quando:

1. Dados entram em um aplicativo Web através de uma fonte não confiável. No caso do XSS baseado em DOM, os dados são lidos a partir de um parâmetro de URL ou de outro valor dentro do navegador e gravados de volta na página com o código do lado do cliente. No caso da XSS refletida, a fonte não confiável é tipicamente uma solicitação da Web, enquanto, no caso da XSS persistente (também conhecida como armazenada), essa fonte é tipicamente um banco de dados ou outro repositório de dados back-end.


2. Os dados são incluídos no conteúdo dinâmico enviado a um usuário da Web sem validação. No caso do XSS baseado em DOM, o conteúdo malicioso é executado como parte da criação do DOM (Document Object Model) sempre que o navegador da vítima analisar a página HTML.

O conteúdo mal-intencionado enviado ao navegador web geralmente assume a forma de um segmento JavaScript, mas também pode incluir HTML, Flash ou qualquer outro tipo de código que o navegador executa. A variedade de ataques com base em XSS é quase ilimitada, mas costuma incluir a transmissão de dados privados, como cookies ou outras informações de sessão, para o invasor, o redirecionamento da vítima para um conteúdo web controlado pelo invasor ou a realização de outras operações mal-intencionadas na máquina do usuário, sob a aparência do site vulnerável.

Exemplo 1: Este segmento de código JavaScript lê uma ID do funcionário, eid, a partir de uma URL e a exibe ao usuário.

<SCRIPT>
var pos=document.URL.indexOf("eid=")+4;
document.write(document.URL.substring(pos,document.URL.length));
</SCRIPT>

Exemplo 2: Considere o formulário HTML:

  <div id="myDiv">
    Employee ID: <input type="text" id="eid"><br>
    ...
    <button>Show results</button>
  </div>
  <div id="resultsDiv">
    ...
  </div>

Este segmento de código jQuery lê uma ID do funcionário no formulário e a exibe ao usuário.

  $(document).ready(function(){
    $("#myDiv").on("click", "button", function(){
      var eid = $("#eid").val();
      $("resultsDiv").append(eid);
      ...
    });
  });

Esses exemplos de código funcionarão corretamente se a ID do funcionário na entrada de texto com a ID eid contiver apenas texto alfanumérico padrão. Se eid tiver um valor que inclui metacaracteres ou código-fonte, o código será executado pelo navegador da Web conforme este exibir a resposta HTTP.

Exemplo 3: O código a seguir mostra um exemplo de um XSS baseado em DOM em um aplicativo do React:

let element = JSON.parse(getUntrustedInput());
ReactDOM.render(<App>
    {element}
</App>);

No Example 3, se um invasor conseguir controlar todo o objeto JSON recuperado de getUntrustedInput(), poderá fazer o React renderizar o element como um componente e, portanto, poderá passar um objeto com o dangerouslySetInnerHTML com seu próprio valor controlado, um típico ataque de Cross-Site Scripting.

Inicialmente, isso pode não ter muita semelhança com uma vulnerabilidade. Afinal, por que alguém forneceria uma entrada com código malicioso a ser executado no próprio computador? O verdadeiro perigo está no fato de que um invasor criará a URL mal-intencionada e depois utilizará truques de email ou engenharia social para atrair as vítimas e convencê-las a visitar um link para essa URL. Quando as vítimas clicarem no link, elas refletirão inadvertidamente o conteúdo mal-intencionado através do aplicativo Web vulnerável de volta a seus próprios computadores. Esse mecanismo de exploração de aplicativos Web é conhecido como XSS Refletida.

Como o exemplos demonstra, as vulnerabilidades XSS são causadas por códigos que incluem dados não validados em uma resposta HTTP. Existem três vetores por meio dos quais um ataque de XSS pode atingir uma vítima:

- Os dados são lidos diretamente na solicitação HTTP e refletidos de volta na resposta HTTP. As explorações de XSS Refletida ocorrem quando um invasor induz o usuário a fornecer conteúdo perigoso a um aplicativo da Web vulnerável, que é refletido de volta ao usuário e executado pelo navegador da Web. O mecanismo mais comum para a distribuição de conteúdo mal-intencionado é incluí-lo como um parâmetro em uma URL que é veiculada publicamente ou enviada por email diretamente para as vítimas. As URLs construídas dessa maneira constituem o núcleo de muitos esquemas de phishing, de acordo com os quais um invasor convence as vítimas a visitarem uma URL que as direciona para um site vulnerável. Depois que o site reflete o conteúdo do invasor de volta ao usuário, o conteúdo é executado e passa a transferir informações privadas, como cookies que podem incluir informações da sessão, do computador do usuário para o invasor ou executar outras atividades nefastas.

- O aplicativo armazena dados perigosos em um banco de dados ou em outro repositório de dados confiável. Esses dados perigosos são posteriormente lidos de volta para o aplicativo e incluídos no conteúdo dinâmico. Explorações de XSS Persistente ocorrem quando um invasor injeta em um repositório de dados um conteúdo perigoso que, mais tarde, é lido e incluído no conteúdo dinâmico. Na perspectiva de um invasor, o lugar ideal para injetar o conteúdo mal-intencionado é em uma área que é exibida para muitos usuários ou para usuários de interesse particular. Esses usuários de interesse normalmente têm privilégios elevados no aplicativo ou interagem com dados confidenciais que são valiosos para o invasor. Se um desses usuários executar conteúdo mal-intencionado, o invasor talvez seja capaz de realizar operações privilegiadas em nome do usuário ou obter acesso a dados confidenciais que pertencem a ele.

- Uma fonte externa ao aplicativo armazena dados perigosos em um banco de dados ou outro repositório de dados, e esses dados perigosos são posteriormente lidos de volta para o aplicativo como dados confiáveis e incluídos no conteúdo dinâmico.