HTTPパラメータ汚染

HTTPパラメータ汚染（英語:HTTP Parameter Pollution、略称:HPP）は、既存のパラメータにエンコードされたクエリ文字列デリミタを注入することによって悪用される、Webアプリケーション脆弱性である。HTTPパラメータポイゾニングとも呼ばれる。この脆弱性は、Webアプリケーションが出力する際に、ユーザー入力が正しくエンコードされていない場合に発生する^[1]。この脆弱性により、Webアプリケーションが作成したURLにパラメータを注入することが可能になる。2009年にポーランドで開催された会議OWASP EU09にて、ステファノ・ディ・パオラとルカ・カレットーニによって初めて公にされた^[1]。このような脆弱性の影響は様々であり、単なる迷惑な影響からWebアプリケーションの意図された動作の完全な破壊に至るまで多岐にわたる。Webアプリケーションの動作を変更するためのHTTPパラメータの上書き、入力およびアクセス検証のチェックポイントのバイパス、その他の間接的な脆弱性などは、HPP攻撃によって引き起こされる可能性のある結果である^[1]。

共通脆弱性タイプではCWE-235に分類される。複数のパラメータが渡された場合の処理について、RFCの標準規格は存在しない。HPPは、クロスチャネル・ポリューション、CSRF保護やWAFの入力検証チェックのバイパスに利用される可能性がある^[2]。

[1]

[2]

技術	解析結果	例
ASP.NET/IIS	すべての出現をカンマで連結	param=val1,val2
ASP/IIS	すべての出現をカンマで連結	param=val1,val2
PHP/Apache	最後の出現のみ	param=val2
PHP/Zeus	最後の出現のみ	param=val2
JSP, Servlet/Apache Tomcat	最初の出現のみ	param=val1
JSP, Servlet/Oracle Application Server	最初の出現のみ	param=val1
JSP, Servlet/Jetty	最初の出現のみ	param=val1
IBM Lotus Domino	最後の出現のみ	param=val2
IBM HTTP Server	最初の出現のみ	param=val1
mod_perl,libapreq2/Apache	最初の出現のみ	param=val1
Perl CGI/Apache	最初の出現のみ	param=val1
mod_wsgi (Python)/Apache	最初の出現のみ	param=val1
Python/Zope	リスト（配列）内のすべての出現	param=['val1','val2']

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) DLLサイドローディングファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング Kerberoasting クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) 整数オーバーフロー (CWE-190) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 危殆化 (CWE-327) POODLE(CWE-757) KRACK(CWE-757) レインボーテーブル攻撃誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス_(DOS攻撃ツール) ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムランサムウェアクリアチャネル評価攻撃（英語版）
サイバーセキュリティ・対策技術	ファイアウォール(FW) 次世代ファイアウォール(NGFW) Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) ハニーポットペネトレーションテスト Static Application Security Testing(SAST) Dynamic Application Security Testing(DAST) Interactive Application Security Testing(IAST) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） Network detection and response（英語版）(NDR) User and Entity Behavior Analytics（UEBA）セキュアアクセスサービスエッジ（SASE） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud access security broker (CASB) FIDO (認証技術) 多要素認証 (MFA) Privileged access management (PAM) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Sender Policy Framework (SPF) DKIM DMARC Wi-Fi Protected Access アドレス空間配置のランダム化 (ASLR) イミュータブルバックアップコンテンツスニッフィングサイバーレジリエンスセキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデルセキュリティオペレーションセンター CSIRT PSIRT
関連用語	MITRE ATT&CK APT攻撃ゼロデイ攻撃サイバーキルチェーンクラッキングシェルコードソーシャル・エンジニアリングセキュリティホールダークウェブデジタル・フォレンジックブラウザクラッシャーボットネットマルウェア Metasploit
セキュリティ関係団体・法律	サイバーセキュリティ基本法サイバー警察局独立行政法人情報処理推進機構（IPA）内閣サイバーセキュリティセンター（NISC）情報通信研究機構（NICT）アメリカ国立標準技術研究所（NIST）欧州ネットワーク・情報セキュリティ機関（ENISA）日本情報経済社会推進協会（JIPDEC) CRYPTREC 共通脆弱性識別子（CVE） OWASP JPCERTコーディネーションセンター (JPCERT/CC) Japan Vulnerability Notes (JVN) 脆弱性情報データベース脆弱性報奨金制度

HTTPパラメータ汚染

種類

クライアントサイド

サーバーサイド

対策

関連項目

脚注

参考文献

Related Articles