V12.3.2 File Execution

Requirement:#

Verify that user-submitted filename metadata is validated or ignored to prevent the disclosure, creation, updating or removal of local files (LFI).

Explanation:#

Требование защищает от уязвимостей Local File Inclusion (LFI), связанных с метаданными имен файлов, передаваемых пользователем. LFI - это уязвимость, возникающая, когда приложение позволяет злоумышленнику включать файлы, расположенные в файловой системе сервера. Это может привести к несанкционированному раскрытию, созданию, обновлению или удалению локальных файлов, что потенциально может привести к раскрытию данных, выполнению кода или другим вредоносным действиям.

1 User-Submitted Filename Metadata:

Это информация, предоставляемая пользователями, которая влияет на имена файлов, с которыми взаимодействует приложение. Сюда можно отнести имена загружаемых файлов, URL-адреса или любую другую информацию, в которой имена файлов являются частью входных данных. 1 Local File Inclusion (LFI):
LFI - это уязвимость, возникающая, когда злоумышленник может манипулировать именами файлов или путями к ним таким образом, чтобы заставить приложение включить файлы из локальной файловой системы, часто выходящие за пределы предполагаемой области применения. 1 Disclosure, Creation, Updating, and Removal:
Наличие LFI уязвимости могут иметь различные последствия, в том числе::
- Раскрытие: Злоумышленник может прочитать конфиденциальные файлы, не предназначенные для раскрытия.
- Создание: Злоумышленник может потенциально создавать новые файлы на сервере.
- Обновление: Злоумышленник может модифицировать существующие файлы.
- Удаление: Злоумышленник может удалять файлы с сервера.

Remediation:#

Для выполнения данного требования и предотвращения уязвимостей LFI:

1 Validate User Inputs:

Проводить проверку и обработку метаданных имен файлов, передаваемых пользователем. Не допускайте прямого использования этих данных в файловых операциях. 1 Use Whitelists:
Для ограничения области применения файловых операций ведите "белые списки" разрешенных имен файлов или путей к ним. Отклоняйте запросы, в которых используются запрещенные имена или пути. 1 Avoid Dynamic File Includes:
Не используйте динамическое включение файлов на основе данных, предоставленных пользователем, без тщательной проверки. Если возможно, полностью откажитесь от динамического включения. 1 Secure File Uploads:
Если приложение позволяет загружать файлы, убедитесь, что загружаемые файлы хранятся в безопасном месте, а их имена безопасно управляются. 1 Implement Access Controls:
Внедрите механизмы строгой аутентификации и авторизации для контроля доступа к файлам и каталогам. 1 Secure Configuration:
Настройте сервер и приложение для ограничения доступа к конфиденциальным файлам и каталогам.

1 Logging and Monitoring:

Реализуйте логирование, чтобы отслеживать и выявлять любые необычные или несанкционированные попытки доступа к файлам. 1 Security Testing:
Регулярно проводите тестирование безопасности, включая анализ кода и оценку уязвимостей, для выявления и устранения потенциальных уязвимостей LFI.

Данный пример демонстрирует, как проверить и обработать передаваемые пользователем метаданные имени файла для предотвращения LFI-уязвимостей в приложении.

from flask import Flask, request, render_template, flash, redirect, url_for
import os

app = Flask(__name__)

UPLOAD_DIRECTORY = "uploads"
ALLOWED_EXTENSIONS = {"txt", "pdf", "png", "jpg", "jpeg", "gif"}

app.config["UPLOAD_DIRECTORY"] = UPLOAD_DIRECTORY

def allowed_file(filename):
    return "." in filename and filename.rsplit(".", 1)[1].lower() in ALLOWED_EXTENSIONS

def sanitize_filename(filename):
    # Remove any characters that are not alphanumeric, underscores, or dashes
    return "".join(c for c in filename if c.isalnum() or c == "_" or c == "-")

@app.route("/", methods=["GET", "POST"])
def upload_file():
    if request.method == "POST":
        file = request.files["file"]

        if file and allowed_file(file.filename):
            filename = sanitize_filename(file.filename)
            file_path = os.path.join(app.config["UPLOAD_DIRECTORY"], filename)
            file.save(file_path)
            flash("File uploaded successfully", "success")
            return redirect(request.url)
        else:
            flash("Invalid file format", "error")
            return redirect(request.url)

    return render_template("upload.html")

@app.route("/uploads/filename")
def serve_file(filename):
    sanitized_filename = sanitize_filename(filename)
    file_path = os.path.join(app.config["UPLOAD_DIRECTORY"], sanitized_filename)
    
    # Verify if the file exists before serving it
    if os.path.exists(file_path):
        return send_from_directory(app.config["UPLOAD_DIRECTORY"], sanitized_filename)
    else:
        return "File not found", 404

if __name__ == "__main__":
    app.secret_key = "your_secret_key"
    app.run(debug=True)
  

Импортирует необходимые модули и инициализирует приложение Flask.
Устанавливает директорию (UPLOAD_DIRECTORY), в которой будут храниться загружаемые файлы. Определяет набор разрешенных расширений файлов (ALLOWED_EXTENSIONS).
allowed_file(filename): Проверяет, разрешено ли расширение файла.
sanitize_filename(filename): Очищает имя файла, удаляя неалфавитно-цифровые символы.
Определяет маршрут (/) для обработки загрузки файлов методом POST. Проверяет расширение загружаемого файла и сохраняет его в указанную директорию. Отображает flash-сообщения об успехе или неудаче загрузки.
Определяет маршрут (/uploads/filename) для обслуживания загруженных файлов. Обезличивает имя файла для предотвращения LFI-уязвимостей. Конструирует полный путь к файлу и обслуживает его, если он существует; в противном случае возвращает сообщение "Файл не найден".
Устанавливает секретный ключ приложения и запускает приложение Flask в режиме отладки.

Additional:#

https://cwe.mitre.org/data/definitions/73.html