Luca Carettoni y Stefano di Paola nos descubren un nuevo problema de validación de los datos de entrada (un clásico). Esencialmente, muchas aplicaciones no comprueban que los datos de entrada son los que tienen que ser (en número y forma) y eso puede ocasionar tratamientos ligeramente diferentes en distintas configuraciones y, en definitiva, problemas.
Cada uno de ellos lo cuenta en su bitácora, HTTP Parameter Pollution (HPP) y Http Parameter Pollution a new web attack category (not just a new buzzword :p) y se pueden ver y/o descargar las transparencias de su presentación en el OWASP 2009, en Http Parameter Pollution, a new category of web attacks.
De paso, como ellos mismos bromean, tenemos unas nuevas siglas en el panorama, HPP: HTTP Parameter Pollution.
http://www.linux-magazine.com/online/news/web_attacks_using_http_parameter_pollution
No hay comentarios:
Publicar un comentario