Redazione RHC : 9 septiembre 2025 07:54
En una prueba de seguridad, los investigadores de Ethiack encontraron una forma de eludir incluso los firewalls de aplicaciones web más estrictos mediante una técnica inusual: inyección de JavaScript mediante contaminación de parámetros HTTP. El sujeto de la prueba era una aplicación ASP.NET con las reglas de filtrado más estrictas. Cualquier intento de inyectar construcciones XSS estándar fue bloqueado, pero gracias a las peculiaridades del procesamiento de parámetros duplicados, los investigadores pudieron recopilar una carga útil funcional que el firewall ni siquiera había detectado.
La clave de la solución alternativa fue que el método ASP.NET HttpUtility.ParseQueryString() combina parámetros idénticos mediante comas.
Por lo tanto, una cadena de consulta como q=1’&q=alert(1)&q=’2 se convierte en la secuencia 1′,alert(1),’2. Al insertarse en JavaScript, se convierte en jsuserInput = ‘1’,alert(1),’2; –, es decir, el código se vuelve sintácticamente correcto y el operador de coma invoca la alerta. Este comportamiento permite que los fragmentos maliciosos se distribuyan entre múltiples parámetros y eludan las comprobaciones de firmas tradicionales.
Mientras que ASP.NET y ASP clásico combinan valores, otras plataformas como Golang o Python Zope trabajan con matrices, por lo que la técnica no es aplicable en todas partes. Para verificar su robustez, se probaron diecisiete configuraciones de diferentes proveedores: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb y NGINX App Protect. Se utilizaron cuatro tipos de carga útil, desde inyecciones simples como q=’;alert(1) hasta otras más complejas con delimitadores y omisiones heurísticas. Solo Google Cloud Armor con ModSecurity, el conjunto de reglas predeterminadas 2.1 de Azure WAF y todos los niveles de sensibilidad de seguridad de aplicaciones abiertas lograron bloquear por completo todas las variantes. Mientras tanto, las soluciones de AWS WAF, F5 y Cyber Security Cloud fallaron en todos los escenarios. La tasa general de omisión aumentó del 17,6 % para una solicitud de inyección básica al 70,6 % para la contaminación avanzada de parámetros.
El bot de hacking autónomo utilizado por los investigadores logró encontrar una solución alternativa para las soluciones que superaron las pruebas manuales. En Azure WAF, logró explotar el procesamiento inconsistente de caracteres de escape mediante la secuencia test’;alert(1);//. En open-appsec, la herramienta encontró una opción funcional en medio minuto, incluso para el perfil «crítico», cambiando las llamadas de alerta a confirmación y utilizando construcciones más inteligentes como q=’+new Function(‘a’+’lert(1)’)()+’. En el caso de Google Cloud Armor, no se pudo eludir el filtro, pero el análisis mostró que la lógica del servidor distingue entre mayúsculas y minúsculas, lo que podría generar vulnerabilidades en el futuro.
Los hallazgos de los investigadores de seguridad destacan las limitaciones sistémicas de los WAF basados en firmas e incluso los heurísticos. La detección integral de ataques distribuidos multiparamétricos requiere una comprensión profunda de la lógica y el análisis de un marco específico en el contexto de JavaScript, lo cual es difícil de implementar a nivel de proxy.
Los intentos de implementar aprendizaje automático tampoco garantizan la sostenibilidad, ya que los bots adaptativos se adaptan rápidamente y encuentran patrones seguros por sí mismos.
En última instancia, los investigadores nos recuerdan que los firewalls no pueden ser la única barrera: la validación de entrada, un blindaje adecuado y prácticas de desarrollo sólidas son necesarios. La combinación de creatividad humana y herramientas automatizadas demuestra la rapidez con la que se pueden exponer incluso las vulnerabilidades no estándar y por qué las pruebas continuas siguen siendo esenciales.
RedazioneLos atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
