it-swarm.com.de

Path Traversal Filter Bypass-Techniken?

Ich habe ein Linux-basiertes eingebettetes System mit Webschnittstelle für Verwaltungszwecke. Laut einem Sicherheitspapier verfügt dieser Webserver über einen rudimentären Filter gegen Directory Traversal-Angriffe in URL-Parametern. Um den Filter "../" zu umgehen, muss eine URL mit speziellen Zeichenfolgen verwendet werden. Was sind die üblichen Bypass-Techniken für Traversal-Filter?

12
Martin

Es gibt verschiedene Codierungen, mit denen Sie versuchen können, einen Filter zu umgehen:

  • Versuchen / und \ am Anfang des Ordnernamens, um zu versuchen, das Stammverzeichnis zu erreichen.
  • Versuchen %2f und %5c (Prozent codierte Versionen der oben genannten).
  • Versuchen Sie es mit einer 16-Bit-Unicode-Codierung (. = %u002e, / = %u2215, \ = %u2216).
  • Versuchen Sie es mit einer doppelten URL-Codierung (. = %252e, / = %252f, \ = %255c).
  • Versuchen Sie eine überlange UTF-8-Unicode-Codierung (. kann sein %c0%2e, %e0%40%ae, %c0ae, / kann sein %c0%af, %e0%80%af, %c0%2f, usw, \ kann sein %c0%5c, %c0%80%5c).

Wenn Sie eine andere Antwort erhalten, wenn Sie eine der oben genannten Antworten versuchen, haben Sie es geschafft, entweder den Ausführungspfad oder den Dateisystempfad zu ändern, auf den zugegriffen wird. Dies kann darauf hinweisen, dass die bestimmte verwendete Sequenz möglicherweise einer zusätzlichen Untersuchung wert ist.

11
SilverlightFox

Aus Gründen der Sicherheit von Web-Apps sind viele gängige Hacks in den zugehörigen OWASP-Testhandbüchern und Angriffsseiten dokumentiert. OWASP bietet eine Pfadüberquerung Angriff und Testanleitung .

Das allgemeine Konzept besteht darin, Zeichen zu verwenden, die den Pfadüberquerungscode täuschen können. Dinge wie eingebettete Nullen, Unicode-Notation und dergleichen können manchmal den Pfadüberquerungsfilter umgehen.

Beachten Sie, dass eine starke Implementierung für keine dieser Anwendungen anfällig ist. Es wird eine weiße Liste mit Zeichen und andere Maßnahmen verwendet, die verhindern, dass einer dieser Tricks erfolgreich ist.

4
Neil Smithline