Percorsi hard coded nei file di archivio

1

Sto solo testando alcune applicazioni web. In questa applicazione web, posso caricare alcuni file almeno come archivio zip. Mi è venuta l'idea di testare, se potessi inserire un file in una posizione specifica che desidero. La mia prima idea è di inserire una sorta di percorsi codificati in un archivio zip. Ora, con questo ho diverse domande:

  1. Questo vale anche per gli archivi zip: posso inserire alcuni percorsi codificati all'interno di un archivio zip?
  2. Se 1. è vero, quale strumento sarebbe utile per questo? Esistono strumenti specifici per questo?
  3. Esiste un nome ufficiale per questo tipo di vulnerabilità?
posta kristian 05.03.2018 - 21:15
fonte

1 risposta

1

I could place a file at a specific location I want. My first idea is to put some sort of hard coded paths in a zip archive.

Non è difficile da fare, la maggior parte degli archiviatori di zip ha un argomento a linea di comando per specificare percorsi codificati. Esempio: pkzip -add -path = root ...

Queste vulnerabilità sono state ben documentate link .

L'impossibilità di specificare il percorso hard coded durante l'estrazione potrebbe essere rilevata come un errore "(E9) No file (s)". Fonte: link .

Qualsiasi controlli software decenti per questi tentativi , una volta che il software determina correttamente dove si vuole scrivere è fino al sistema operativo per consentirlo; se configurato correttamente, l'accesso non sarà consentito.

Questa idea è troppo vecchia per avere successo, sarà bloccata su molti livelli.

Un utente non può elevare i propri privilegi caricando un file o l'applicazione web ha un grave difetto di sicurezza.

    
risposta data 06.03.2018 - 05:08
fonte

Leggi altre domande sui tag