V12.3.5 File Execution

Requirement:#

Verify that untrusted file metadata is not used directly with system API or libraries, to protect against OS command injection.

Explanation:#

Требование защищает от атак OS command injection, гарантируя, что недоверенные файловые метаданные не используются напрямую с системными API или библиотеками. Данное требование направлено на предотвращение инъекции злоумышленниками вредоносных команд в приложение через недоверенные файловые метаданные, что может привести к выполнению произвольного кода на базовой операционной системе.

Remediation:#

Для выполнения этого требования и предотвращения OS command injection необходимо выполнить следующее:

Input Validation and Sanitization.

Провести тщательную проверку и обработку метаданных недоверенных файлов, прежде чем использовать их в качестве входных данных для системных API или библиотек.

Use Safe APIs.

По возможности использовать высокоуровневые и безопасные API, предоставляемые языком программирования или фреймворком, которые абстрагируют от прямого взаимодействия с операционной системой.

Avoid Dynamic Command Construction.

Следует избегать динамического построения команд путем объединения недостоверных данных с командными строками. Вместо этого использовать параметризованные запросы или соответствующие функции построения команд.

Use Proper Escaping.

Если необходимо создать команду, убедиться, что все недоверенные данные правильно экранированы или обработаны для предотвращения инъекционных атак.

Whitelisting Allowed Values.

При необходимости использовать "белые списки" для определения допустимых значений метаданных файлов и отклонять все, что не соответствует "белому списку".

Content Security.

Реализовать механизмы защиты содержимого, ограничивающие доступ к файлам и их выполнение в известных и безопасных местах.

Пример демонстрирующий, как реализовать необходимые меры для выполнения требования по защите от атаки OS command injection:

import os
import shlex
from flask import Flask, request, Response

app = Flask(__name__)

ALLOWED_EXTENSIONS = ["txt", "pdf", "docx"]  # Example list of allowed file extensions

def is_allowed_extension(filename):
    return "." in filename and filename.rsplit(".", 1)[1].lower() in ALLOWED_EXTENSIONS

@app.route("/download")
def download_file():
    # Get the filename parameter from the query string
    filename = request.args.get("filename")

    if not filename:
        return "Filename parameter missing", 400

    # Validate filename and extension
    if not is_allowed_extension(filename):
        return "Invalid file extension", 400

    # Sanitize the filename before constructing the command
    sanitized_filename = shlex.quote(filename)

    # Construct and execute the safe command
    command = f"cat {sanitized_filename}"  # Example command to read file content
    try:
        content = os.popen(command).read()  # Execute command safely
        response = Response(content, content_type="text/plain")
        response.headers["Content-Disposition"] = f'attachment; filename="{filename}"'
        return response
    except Exception as e:
        return str(e), 500

if __name__ == "__main__":
    app.run()
 

В данном примере:

Функция is_allowed_extension проверяет, входит ли расширение файла в список разрешенных расширений.
download_file выполняет проверку и обработку имени файла и расширения, чтобы убедиться, что они безопасны для использования.
Очищенное имя файла используется для построения и безопасного выполнения команды с помощью os.popen.
Содержимое запрошенного файла считывается и возвращается в ответе с соответствующими заголовками.

Обратите внимание, что это упрощенный пример. На практике может потребоваться более тщательная проверка, очистка и обработка ошибок, исходя из требований приложения и соображений безопасности.

Additional:#

https://cwe.mitre.org/data/definitions/78.html