V13.1.1 Generic Web Service Security

Requirement:

Verify that all application components use the same encodings and parsers to avoid parsing attacks that exploit different URI or file parsing behavior that could be used in SSRF and RFI attacks.

Explanation:

Неправильное кодирование или экранирование может позволить злоумышленникам изменять команды, отправляемые другому компоненту, вставляя вместо этого вредоносные команды. Большинство продуктов следуют определенному протоколу, который использует структурированные сообщения для связи между компонентами, такими как запросы или команды. Эти структурированные сообщения могут содержать необработанные данные, перемещающиеся с метаданными или управляющей информацией. Например, "GET /index.html HTTP/1.1" представляет собой структурированное сообщение, содержащее команду ("GET") с одним аргументом ("/index.html") и метаданные о том, какая версия протокола используется ("HTTP/1.1").

Если приложение использует предоставленные злоумышленником входные данные для создания структурированного сообщения без надлежащего кодирования или экранирования, злоумышленник может вставить специальные символы, которые заставят данные интерпретироваться как управляющая информация или метаданные. Следовательно, компонент, получающий выходные данные, будет выполнять неправильные операции или иным образом неправильно интерпретировать данные.

Приложения могут быть уязвимы для парсинг-атак, если они неправильно обрабатывают входные данные, предоставленные пользователем или другой системой. Злоумышленники могут использовать эти уязвимости, отправляя вредоносные входные данные, которые обходят проверку ввода и другие меры безопасности. В случае атак SSRF и RFI злоумышленники могут использовать различные URI или поведение при синтаксическом анализе файлов для запуска атак, которые позволяют им манипулировать конфиденциальными данными или получать к ним доступ.

Чтобы предотвратить атаки с использованием синтаксического анализа, важно убедиться, что все компоненты приложения используют одни и те же методы кодирования и синтаксического анализа. Этого можно достичь за счет использования согласованных библиотек синтаксического анализа и кодирования во всем приложении, а также за счет последовательного применения средств проверки ввода и безопасности ко всем компонентам.

На практике это означает, что разработчики должны помнить о методах кодирования и синтаксического анализа, используемых в их приложениях, и обеспечивать их согласованное использование во всех компонентах. Это включает в себя обеспечение надлежащей проверки и очистки всех входных данных для предотвращения обработки вредоносных входных данных. Следуя этому требованию, приложения могут быть лучше защищены от атак с разбором, которые могут использоваться в атаках SSRF и RFI.

Remediation:

Исправление проблемы безопасности, упомянутой в предыдущем объяснении, заключается в стандартизации методов кодирования и синтаксического анализа, используемых во всех компонентах приложения. Это можно сделать:

• Проведение обзора всех компонентов приложения для выявления любых различий в используемых методах кодирования и синтаксического анализа.
• Реализация стандартного метода кодирования и синтаксического анализа для всех используемых компонентов.
• Обновление всех компонентов для использования стандартного метода и тщательное тестирование приложения, чтобы убедиться, что оно работает правильно.
• Мониторинг приложения на предмет любых признаков эксплуатации и обновление плана исправления по мере необходимости, чтобы опережать возникающие угрозы.
• Регулярно пересматривайте и обновляйте план исправления, чтобы убедиться, что он остается эффективным в предотвращении парсинг-атак и защите приложения от атак SSRF и RFI.

Вот простой пример  кода в Python: Предположим, у вас есть компонент вашего приложения, который в настоящее время использует библиотеку urllib для анализа URL-адресов и получения содержимого по этим URL-адресам. Чтобы стандартизировать метод кодирования и синтаксического анализа, вы можете заменить текущую реализацию следующим кодом, который вместо этого использует библиотеку запросов:

import requests

def fetch_url(url):

response = requests.get(url)

response.raise_for_status()

return response.text

Эта реализация использует библиотеку запросов, которая по умолчанию использует кодировку UTF-8 и синтаксический анализ JSON, для получения содержимого по указанному URL-адресу. Он также вызывает исключение в случае каких-либо ошибок, таких как код состояния HTTP, отличный от 200, что помогает гарантировать, что приложение не уязвимо для атак SSRF и RFI. Обратите внимание, что это всего лишь простой пример, и фактический процесс исправления может включать более сложные изменения кода, такие как добавление дополнительных проверок безопасности, реализация ограничения скорости или очистка входных данных, в зависимости от специфики приложения и политик безопасности организации.

Additional:

CWE-116: Improper Encoding or Escaping of Output