V1.5.4 Input and Output Architecture

Requirement:

Verify that output encoding occurs close to or by the interpreter for which it is intended. (C4)

Explanation:

Требование направлено на кодирование вывода и обращает особое внимание на то, что оно должно происходить с использованием интерпретатора, для которого он предназначен.

1 Output Encoding:

• Кодирование выходных данных - это процесс преобразования потенциально опасных данных, таких как пользовательский контент или данные из недоверенных источников, в безопасный формат перед их отображением пользователям или передачей интерпретаторам (например, браузерам, базам данных или другим приложениям).

2 Close to or by the Interpreter:

• This part of the requirement stresses that output encoding should be performed as close to the point of interpretation as possible. In other words, it should be done just before the data is consumed by the component that interprets and processes it.

3 Significance:

• Основной целью данного требования является предотвращение различных injection атак, таких как Cross-Site Scripting (XSS) и SQL Injection, за счет того, что потенциально вредоносные данные не обрабатываются как код или executable содержимое.

4 Explaination:

• Когда данные кодируются в непосредственной близости от интерпретатора, это снижает вероятность того, что полезная нагрузка злоумышленника будет случайно интерпретирована как код. Например:
  • В контексте веб-приложений выходное кодирование пользовательского контента (например, HTML, JavaScript) должно выполняться непосредственно перед рендерингом веб-страницы в браузере. Это предотвращает выполнение инжектированного JavaScript в браузере пользователя и снижает вероятность XSS-атак.
  • В случае с базами данных SQL кодирование вывода должно происходить в момент вставки данных в SQL-запросы, непосредственно перед выполнением запроса. Это предотвращает атаки SQL Injection, гарантируя, что данные будут рассматриваться как данные, а не как SQL-код.

5 Example:

• Предположим, у вас есть веб-приложение, которое позволяет пользователям оставлять комментарии. Эти комментарии могут содержать разметку HTML. Вместо того чтобы напрямую отображать отправленный пользователем HTML, который может содержать вредоносные скрипты, вам следует выполнить кодирование вывода непосредственно перед отображением комментариев в HTML веб-страницы. Это гарантирует, что любые HTML-теги будут восприниматься как обычный текст, а не как исполняемый код.

6 Implementation:

• Реализуйте кодирование вывода с помощью библиотек или фреймворков, специально разработанных для языка и контекста, в котором вы работаете (например, кодирование HTML для веб-приложений, параметризация SQL для баз данных).
• Используйте функции или методы, предоставляемые этими библиотеками, для выполнения кодирования в зависимости от контекста интерпретатора.

Кодировка вывода рекомендуется, когда необходимо безопасно отображать данные в точности так, как пользователь их ввел. Переменные не следует интерпретировать как код, а не текст. В этом разделе рассматриваются все формы кодирования вывода, где ее использовать и где полностью избегать использования динамических переменных.

Начните с использования защиты кодирования вывода вашей платформы по умолчанию, когда вы хотите отобразить данные по мере ввода пользователем. Функции автоматического кодирования и экранирования встроены в большинство фреймворков.

Если вы не используете фреймворк или вам нужно покрыть пробелы в фреймворке, вам следует использовать библиотеку кодирования вывода. Каждая переменная, используемая в пользовательском интерфейсе, должна проходить через функцию кодирования вывода. Список библиотек кодирования выходных данных приведен в приложении.

Существует множество различных методов кодирования вывода, поскольку браузеры по-разному анализируют HTML, JS, URL-адреса и CSS. Использование неправильного метода кодирования может привести к появлению слабых мест или нарушению функциональности приложения.

Remediation:

Кодировка вывода для "HTML контекстов"

«Контекст HTML» относится к вставке переменной между двумя основными тегами HTML, такими как aor.

Пример

<div> $varUnsafe </div

Злоумышленник может изменить данные, которые отображаются как. Это может привести к добавлению атаки на веб-страницу. Например.$varUnsafe

Пример добавления скрипта

<div> <script>alert`1`</script> </div> // Example Attack

Чтобы безопасно добавить переменную в HTML-контекст, используйте кодировку сущностей HTML для этой переменной при ее добавлении в веб-шаблон.

Ниже приведены некоторые примеры закодированных значений для определенных символов.

& &

< <

> >

" "

' '

---

Кодировка вывода для "контекстов атрибутов HTML"

«Контексты атрибутов HTML» относятся к помещению переменной в значение атрибута HTML. Это можно сделать, чтобы изменить гиперссылку, скрыть элемент, добавить альтернативный текст для изображения или изменить встроенные стили CSS. Следует применять кодировку атрибутов HTML к переменным, помещаемым в большинство атрибутов HTML. 

Пример

<div attr="$varUnsafe">

<div attr=”*x” onblur=”alert(1)*”> // Example Attack

Очень важно использовать кавычки, для окружения переменных. Цитирование затрудняет изменение контекста, в котором работает переменная, что помогает предотвратить XSS. Цитирование также значительно сокращает набор символов, необходимых для кодирования, что делает ваше приложение более надежным, а кодирование проще в реализации.

---

Кодировка вывода для "Контекстов JavaScript"

«Контексты JavaScript» относятся к размещению переменных во встроенном JavaScript, который затем внедряется в HTML-документ. Это обычно наблюдается в программах, которые активно используют пользовательский JavaScript, встроенный в их веб-страницы.

Единственное «безопасное» место для размещения переменных в JavaScript находится внутри «значения цитируемых данных». Все остальные контексты небезопасны, и в них запрещено размещать данные.

Примеры "Значения цитируемых данных"

Пример

<script>alert('$varUnsafe’)</script>

<script>x=’$varUnsafe’</script>

<div onmouseover="'$varUnsafe'"</div>

Примеры кодирования JavaScript OWASP Java Encoder

---

Кодировка вывода для "КОНТЕКСТОВ CSS"

«Контексты CSS» относятся к переменным, помещенным во встроенный CSS. Это часто происходит, когда вы хотите, чтобы пользователи могли настраивать внешний вид своих веб-страниц. CSS мощный и используется для многих типов атак. Переменные следует помещать только в значение свойства CSS. Другие «контексты CSS» небезопасны, и вы не должны размещать в них переменные данные.

Пример

<style> selector { property : $varUnsafe; } </style>

<style> selector { property : "$varUnsafe"; } </style>

<span style="property : $varUnsafe">Oh no</span>

---

Кодировка вывода для "КОНТЕКСТОВ URL"

«Контексты URL» относятся к переменным, помещенным в URL-адрес. Чаще всего разработчик добавляет параметр или фрагмент URL-адреса в базу URL-адресов, которая затем отображается или используется в какой-либо операции. Используйте кодировку URL-адресов для этих сценариев.

Пример

<a href="http://www.owasp.org?test=$varUnsafe">link</a >

Кодируйте все символы в формате кодирования. Убедитесь, что все атрибуты полностью процитированы, как js и CSS.

Распространенная ошибка

В ситуациях, когда используется URL-адрес в разных контекстах. В таких случаях следует выполнить кодирование URL-адресов, затем следует выполнить кодирование атрибутов HTML.

Пример

url = "https://site.com?data=" + urlencode(parameter)

<a href='attributeEncode(url)'>link</a>

Additional:

Cross Site Scripting Prevention