Redazione RHC : 9 septiembre 2025 07:54
En una prueba de seguridad, los investigadores de Ethiack encontraron una forma de eludir incluso los firewalls de aplicaciones web más estrictos mediante una técnica inusual: inyección de JavaScript mediante contaminación de parámetros HTTP. El sujeto de la prueba era una aplicación ASP.NET con las reglas de filtrado más estrictas. Cualquier intento de inyectar construcciones XSS estándar fue bloqueado, pero gracias a las peculiaridades del procesamiento de parámetros duplicados, los investigadores pudieron recopilar una carga útil funcional que el firewall ni siquiera había detectado.
La clave de la solución alternativa fue que el método ASP.NET HttpUtility.ParseQueryString() combina parámetros idénticos mediante comas.
Por lo tanto, una cadena de consulta como q=1’&q=alert(1)&q=’2 se convierte en la secuencia 1′,alert(1),’2. Al insertarse en JavaScript, se convierte en jsuserInput = ‘1’,alert(1),’2; –, es decir, el código se vuelve sintácticamente correcto y el operador de coma invoca la alerta. Este comportamiento permite que los fragmentos maliciosos se distribuyan entre múltiples parámetros y eludan las comprobaciones de firmas tradicionales.
Mientras que ASP.NET y ASP clásico combinan valores, otras plataformas como Golang o Python Zope trabajan con matrices, por lo que la técnica no es aplicable en todas partes. Para verificar su robustez, se probaron diecisiete configuraciones de diferentes proveedores: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb y NGINX App Protect. Se utilizaron cuatro tipos de carga útil, desde inyecciones simples como q=’;alert(1) hasta otras más complejas con delimitadores y omisiones heurísticas. Solo Google Cloud Armor con ModSecurity, el conjunto de reglas predeterminadas 2.1 de Azure WAF y todos los niveles de sensibilidad de seguridad de aplicaciones abiertas lograron bloquear por completo todas las variantes. Mientras tanto, las soluciones de AWS WAF, F5 y Cyber Security Cloud fallaron en todos los escenarios. La tasa general de omisión aumentó del 17,6 % para una solicitud de inyección básica al 70,6 % para la contaminación avanzada de parámetros.
El bot de hacking autónomo utilizado por los investigadores logró encontrar una solución alternativa para las soluciones que superaron las pruebas manuales. En Azure WAF, logró explotar el procesamiento inconsistente de caracteres de escape mediante la secuencia test’;alert(1);//. En open-appsec, la herramienta encontró una opción funcional en medio minuto, incluso para el perfil «crítico», cambiando las llamadas de alerta a confirmación y utilizando construcciones más inteligentes como q=’+new Function(‘a’+’lert(1)’)()+’. En el caso de Google Cloud Armor, no se pudo eludir el filtro, pero el análisis mostró que la lógica del servidor distingue entre mayúsculas y minúsculas, lo que podría generar vulnerabilidades en el futuro.
Los hallazgos de los investigadores de seguridad destacan las limitaciones sistémicas de los WAF basados en firmas e incluso los heurísticos. La detección integral de ataques distribuidos multiparamétricos requiere una comprensión profunda de la lógica y el análisis de un marco específico en el contexto de JavaScript, lo cual es difícil de implementar a nivel de proxy.
Los intentos de implementar aprendizaje automático tampoco garantizan la sostenibilidad, ya que los bots adaptativos se adaptan rápidamente y encuentran patrones seguros por sí mismos.
En última instancia, los investigadores nos recuerdan que los firewalls no pueden ser la única barrera: la validación de entrada, un blindaje adecuado y prácticas de desarrollo sólidas son necesarios. La combinación de creatividad humana y herramientas automatizadas demuestra la rapidez con la que se pueden exponer incluso las vulnerabilidades no estándar y por qué las pruebas continuas siguen siendo esenciales.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
