Path bypass traversal filter techniques?

9

Ho un sistema embedded basato su Linux con interfaccia web per scopi di gestione. Secondo un documento di sicurezza , questo web server ha un filtro rudimentale contro gli attacchi directory traversal nei parametri URL. Pertanto, per aggirare il filtro "../", è necessario utilizzare un URL con stringhe speciali. Quali sono le comuni tecniche di bypass del filtro di attraversamento del percorso?

    
posta Martin 13.08.2015 - 17:00
fonte

2 risposte

9

Esistono varie codifiche che puoi provare a abilitare per ignorare un filtro:

  • Prova / e \ all'inizio del nome della cartella per provare a raggiungere la directory root.
  • Prova %2f e %5c (versioni codificate per cento di quanto sopra).
  • Prova a utilizzare la codifica Unicode a 16 bit ( . = %u002e , / = %u2215 , \ = %u2216 ).
  • Prova la doppia codifica dell'URL ( . = %252e , / = %252f , \ = %255c ).
  • Prova a utilizzare la codifica Unicode UTF-8 ( . può essere %c0%2e , %e0%40%ae , %c0ae , / può essere %c0%af , %e0%80%af , %c0%2f , ecc, \ può essere %c0%5c , %c0%80%5c ).

Se si ottiene una risposta diversa provando uno dei precedenti, si è riusciti a modificare il percorso di esecuzione o il percorso del file system a cui si accede. Ciò potrebbe indicare che la particolare sequenza utilizzata potrebbe essere meritevole di ulteriori indagini.

    
risposta data 17.08.2015 - 11:12
fonte
4

Per la sicurezza delle app Web, molti hack comuni sono documentati nelle guide di prova OWASP e nelle pagine di attacco associate. OWASP fornisce un path traversal attacco e guida di test .

Il concetto generale è di usare caratteri che possano ingannare il codice di attraversamento del percorso. Cose come i null incorporati, la notazione Unicode e così via possono a volte ignorare il filtro traversale del percorso.

Nota che un'implementazione strong non sarà suscettibile a nessuno di questi. Utilizzerà una white-list dei caratteri e altre misure che impediranno l'esecuzione di questi trucchi.

    
risposta data 17.08.2015 - 03:13
fonte

Leggi altre domande sui tag