V5.3.6 Output Encoding and Injection Prevention

Requirement:#

Verify that the application protects against JSON injection attacks, JSON eval attacks, and JavaScript expression evaluation. (C4)

Explanation:#

Чтобы убедиться, что приложение защищает от атак внедрения JSON, атак JSON eval и оценки выражений JavaScript, вам необходимо проверить, правильно ли санитизирован ввод пользователя, прежде чем он будет обработан как данные JSON. Атаки с внедрением JSON включают в себя внедрение вредоносных данных в объекты JSON, которые могут быть выполнены приложением. Атаки JSON eval включают использование функции JavaScript eval() для выполнения вредоносного кода. Оценка выражений JavaScript включает использование выражений JavaScript для выполнения вредоносного кода. Чтобы предотвратить эти атаки, пользовательский ввод должен быть надлежащим образом очищен перед обработкой в виде данных JSON. Это может включать удаление или кодирование специальных символов, таких как угловые скобки и обратная косая черта, которые имеют особое значение в JSON. Кроме того, важно по возможности избегать использования функции JavaScript eval() или выражений JavaScript, поскольку они могут использоваться для выполнения вредоносного кода. Вместо этого используйте более безопасные альтернативы, такие как метод JSON.parse() или другие функции синтаксического анализа, специфичные для JSON. Таким образом, чтобы убедиться, что приложение защищает от атак внедрения JSON, атак JSON eval и оценки выражений JavaScript, вы должны проверить, правильно ли санитизирован пользовательский ввод, прежде чем он будет обработан как данные JSON, и избегает ли приложение использования функции eval() или JavaScript-выражения.

Remediation:#

Чтобы устранить атаки внедрения JSON, атаки JSON eval и оценку выражений JavaScript, выполните следующие действия.

Проверка ввода пользователя: проверка ввода должна выполняться, чтобы гарантировать, что данные, предоставленные пользователем, имеют правильный формат и находятся в ожидаемых пределах. Это помогает предотвратить внедрение злоумышленниками вредоносных данных в приложение.
Дезинфекция пользовательского ввода: пользовательский ввод должен быть должным образом дезинфицирован перед обработкой в виде данных JSON. Это может включать удаление или кодирование специальных символов, таких как угловые скобки и обратная косая черта, которые имеют особое значение в JSON.
Избегайте функции eval(). По возможности избегайте использования функции eval() JavaScript или выражений JavaScript, так как они могут использоваться для выполнения вредоносного кода. Вместо этого используйте более безопасные альтернативы, такие как метод JSON.parse() или другие функции синтаксического анализа, специфичные для JSON.
Обновляйте программное обеспечение: регулярно обновляйте программное обеспечение до последней версии, чтобы гарантировать исправление всех известных уязвимостей.

Вот пример того, как правильно дезинфицировать пользовательский ввод в JavaScript, чтобы предотвратить атаки с внедрением JSON:

var userInput = document.getElementById("userInput").value;

// Sanitize the user input
var safeInput = userInput.replace(/[^\w\s]/gi, '');

// Parse the safe input as JSON data
var data = JSON.parse(safeInput);

В этом примере пользовательский ввод сначала извлекается из элемента формы HTML. Затем ввод очищается путем удаления любых специальных символов с помощью метода replace(). Наконец, безопасный ввод анализируется как данные JSON с использованием метода JSON.parse(). Важно отметить, что это всего лишь один пример того, как дезинфицировать пользовательский ввод. Конкретные шаги, необходимые для правильной очистки пользовательского ввода, могут различаться в зависимости от конкретных требований вашего приложения.

Requirement:#

Explanation:#

Remediation:#

Additional:#