 描述
产品使用外部输入来构造一个路径名应该在一个受限制的目录,但它不适当中和....”(多个点)序列,能够解决该目录以外的位置。
扩展描述
这允许攻击者访问文件或目录遍历文件系统的限制以外的目录。
“....操作用于绕过一些路径遍历保护方案。一些Windows系统,相当于“. . \ \…”,可能绕过检查假设只有两个点是有效的。不完全过滤,如删除”。/ . .“序列,可以最终产生有效的序列由于陷入不安全的值(cwe - 182)。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
观察到的例子
| 参考 |
描述 |
|
|
通过“/ ..........阅读文件在URL /” |
|
|
通过“....”读文件web服务器 |
|
|
通过“读文件……”在web服务器(增加了一倍三倍点?) |
|
|
通过“读文件……”在web服务器(增加了一倍三倍点?) |
|
|
多个攻击使用“. .”,“……”在不同的命令,“....” |
|
|
“……”或“....”聊天服务器 |
潜在的缓解措施
实施阶段:
假设所有的输入是恶意的。使用一个“接受良好的“输入验证策略,即。,使用一个可接受的输入列表,严格遵守规范。拒绝任何不严格符合规范的输入,或将其转换为一些。
当执行输入验证,考虑所有可能相关的属性,包括长度,类型的输入,可接受的值的全系列,缺失或额外的输入,语法,一致性相关领域,符合业务规则。作为业务规则逻辑的一个例子,在语法上“船”可能是有效的,因为它只包含字母数字字符,但它不是有效的如果输入预计仅包含颜色,如“红”或“蓝色”。
不完全依赖寻找恶意或畸形的输入。这很可能错过至少有一个不受欢迎的输入,特别是如果代码的环境变化。这可以让攻击者有足够的空间绕过验证。然而,denylists可以用于检测潜在攻击或确定哪些输入是畸形的,应该直接驳回。
验证文件名时,用严格的allowlists限制使用的字符集。如果可行,只允许一个“。”字符的文件名,以避免弱点等 CWE-23,排除目录分隔符“/”等,以避免 CWE-36。使用许可文件扩展名的列表,这将有助于避免 cwe - 434。
不完全依赖一个过滤机制,消除潜在的危险人物。这相当于一个denylist,这可能是不完整的( cwe - 184)。例如,过滤保护“/”是不够的,如果文件系统还支持使用作为目录分隔符“\”。另一个可能的错误可能发生过滤时,仍然会产生危险的数据( cwe - 182)。例如,如果“. ./“序列是远离“……/ /字符串以顺序的方式,两个实例“. ./”将从原始字符串中删除,但其余字符仍将形成“. ./”字符串。 |
实施阶段:
输入应该解码和规范化应用程序当前的内部表示之前验证( cwe - 180)。确保应用程序不会解码输入两次相同( cwe - 174)。这些错误可以用来绕过allowlist验证方案通过引入危险的输入后检查。 |
笔记
维护
像triple-dot CWE-32,这个操作可能隐藏了多个弱点,应该更加明确。
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 千鸟 |
|
|
“....”(多个点) |
| 软件故障模式 |
SFP16 |
|
路径遍历 |
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
