Nous connaissions les attaques cross-scripting (XSS) qui consistent à injecter un script malveillant au sein du code HTML ou encore les injections SQL, compromettant la base de données d'une application web. Voici désormais une nouvelle menace baptisée HPP (HTTP Parameter Pollution). Dans un papier qui sera présenté demain lors du sommet annuel du Black Hat, regroupant l'ensemble des experts de sécurité, M. Balduzzi explique qu'« une vulnérabilité HPP permet à un hacker d'injecter un paramètre au sein des URL générées par une application web ».
Nature d'un lien de sondage avant et après une attaque
L'attaque consiste à modifier un paramètre précédemment configuré en ajoutant un second disposant d'une dénomination similaire mais d'une valeur différente. Interrogé par le magazine Forbes, Marco Balduzzi déclare ainsi : « vous pouvez changer la valeur écrite au sein d'une application et lui demander d'opérer une action qu'elle n'est pas censée faire ». Le spécialiste ajoute que les conséquences de cette attaque sont étroitement liées au fonctionnement du service web ciblé. « Si vous contrôlez les paramètres vous pouvez faire n'importe quoi », ajoute-t-il.
Google, Facebook, Paypal, Microsoft mais aussi Symantec présenteraient des pages web vulnérables à cette attaque et ont été avertis par le spécialiste. En publiant son rapport (PDF), ce dernier souhaite alerter la communauté. Les vulnérabilités HPP ont été découvertes il y a deux ans et pourraient donc être exploitées à grande échelle.
