V5.3.8 Output Encoding and Injection Prevention

Requirement:

Verify that the application protects against OS command injection and that operating system calls use parameterized OS queries or use contextual command line output encoding. (C4)

Explanation:

Внедрение команд ОС — это тип уязвимости, который возникает, когда ненадежные данные используются в команде операционной системы без надлежащей проверки или кодирования. Это может позволить злоумышленнику внедрить вредоносный код в команду, что приведет к несанкционированному доступу к конфиденциальной информации или манипулированию данными. Чтобы убедиться, что приложение защищает от внедрения команд ОС, необходимо проверить, правильно ли санитизированы и проверены вводимые пользователем данные перед их использованием в команде операционной системы. Это может включать проверку недопустимых символов или последовательностей символов и кодирование пользовательского ввода, чтобы убедиться, что он не содержит вредоносного кода. Кроме того, важно по возможности использовать параметризованные запросы ОС, чтобы гарантировать, что пользовательский ввод обрабатывается как буквальное значение, а не выполняется как код. Если параметризованные запросы ОС недоступны, следует использовать контекстно-зависимое кодирование выходных данных командной строки для защиты от атак внедрения. Таким образом, чтобы убедиться, что приложение защищает от внедрения команд ОС, вы должны проверить, правильно ли санитизирован и проверен пользовательский ввод перед использованием в команде операционной системы, и использует ли приложение параметризованные запросы ОС или контекстно-зависимое кодирование выходных данных командной строки. для предотвращения инъекционных атак. OS command injection

ping 1.1.1.1 || curl -v http://ya.ru

Remediation:

Чтобы устранить внедрение команд ОС, выполните следующие действия.

• Проверка ввода пользователя: проверка ввода должна выполняться, чтобы гарантировать, что данные, предоставленные пользователем, имеют правильный формат и находятся в ожидаемых пределах. Это помогает предотвратить внедрение злоумышленниками вредоносных данных в приложение.
• Дезинфекция пользовательского ввода: пользовательский ввод должен быть должным образом дезинфицирован перед использованием в команде операционной системы. Это может включать удаление или кодирование специальных символов, таких как точки с запятой и вертикальные черты, которые имеют особое значение в командах операционной системы.
• Используйте параметризованные запросы ОС. По возможности используйте параметризованные запросы ОС, чтобы гарантировать, что пользовательский ввод обрабатывается как буквальное значение, а не выполняется как код.

Вот пример того, как использовать параметризованные запросы ОС в PHP для предотвращения атак путем внедрения команд ОС:

$user_input = $_POST['user_input'];

// Sanitize the user input

$safe_input = escapeshellarg($user_input);

// Execute the command with the sanitized input

$output = shell_exec("ls $safe_input");

В этом примере пользовательский ввод сначала извлекается из запроса POST. Затем ввод очищается с помощью функции escapeshellarg(), которая правильно экранирует специальные символы во вводе, чтобы они обрабатывались как буквальные значения, а не выполнялись как код. Наконец, очищенный ввод используется в функции shell_exec() для выполнения команды ls. Это защищает от атак путем внедрения команд ОС.

Additional: