Perché OWASP ASVS richiede che le risposte HTTP abbiano un'intestazione di contenuto che specifica un set di caratteri?

3

Lo standard di verifica della sicurezza delle applicazioni OWASP ( ASVS ), versione 3, afferma nella clausola V11.2:

Verify that every HTTP response contains a content type header specifying a safe character set (e.g., UTF-8, ISO 8859-1).

Quale sarebbe la minaccia di trascurare questo requisito e come potrebbe essere sfruttato?

    
posta countermode 04.05.2016 - 21:38
fonte

2 risposte

6

Diminuisci gli attacchi sul lato client.

Ad esempio: Se la pagina su cui risiede l'XSS non fornisce un'intestazione del set di caratteri della pagina, o qualsiasi browser impostato sulla codifica UTF-7 può essere sfruttato come segue. ad esempio (codifica UTF-7):

+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-

Ed è difficile prevenire gli attacchi XSS

maggiori informazioni: XSS con utf-7

    
risposta data 04.05.2016 - 22:00
fonte
2

Il documento del 2008 di Blake Franz di Leviathan Security - link - identifica alcuni degli spazi di problemi originali con set di caratteri.

Alcuni strumenti identificano e spiegano correttamente questo problema, come Burp Suite Professional - link

Vedrai la menzione dei set di caratteri nelle guide di prova OWASP su XSS memorizzato:

This design flaw can be exploited in browser MIME mishandling attacks. For instance, innocuous-looking files like JPG and GIF can contain an XSS payload that is executed when they are loaded by the browser. This is possible when the MIME type for an image such as image/gif can instead be set to text/html. In this case the file will be treated by the client browser as HTML.

Also consider that Internet Explorer does not handle MIME types in the same way as Mozilla Firefox or other browsers do. For instance, Internet Explorer handles TXT files with HTML content as HTML content. For further information about MIME handling, refer to the whitepapers section at the bottom of this chapter.

Ulteriori informazioni possono essere trovate nella pagina di Wikipedia sotto Charset Sniffing - link

    
risposta data 04.05.2016 - 22:07
fonte

Leggi altre domande sui tag