freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

【缺陷周话】第36期:弱验证
2019-05-30 20:18:57

代码审计是使用静态分析发现源代码中安全缺陷的方法,辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并已成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士团队基于自主研发的国内首款源代码安全检测商用工具,以及十余年漏洞技术研究的积累,推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷,结合实例和工具使用进行详细介绍,旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

1、弱验证

弱验证是指由于应用程序验证不足导致浏览器执行恶意代码。当不受信任的数据进入 Web 应用程序,应用程序会动态生成网页,在页面生成期间,由于应用程序依靠 HTML、XML 或其他类型编码验证,而验证方式不足,程序并不会阻止 Web 浏览器解析可执行的内容,例如 JavaScript、HTML 标记、HTML 属性、鼠标事件、Flash、ActiveX等,这样生成的网页包含不受信任数据,攻击者可执行恶意代码攻击用户。本文以JAVA语言源代码为例,分析弱验证缺陷产生的原因以及修复方法。详细请参见:

  • CWE ID 82: Improper Neutralization of Script in Attributes ofIMG Tags in a Web Page (http://cwe.mitre.org/data/definitions/82.html)

  • CWE ID 83:Improper Neutralization of Script in Attributes in a WebPage (http://cwe.mitre.org/data/definitions/83.html)

  • CWE ID 87:Improper Neutralization of Alternate XSS Syntax (http://cwe.mitre.org/data/definitions/87.html)

  • CWE ID 692:Incomplete Blacklist to Cross-Site Scripting (http://cwe.mitre.org/data/definitions/692.html)。

2、 弱验证的危害

弱验证会导致XSS,无论是存储型XSS还是持久型XSS,XSS攻击的后果都是相同的。不同之处在于有效负载如何到达服务器。XSS可能会给最终用户带来各种问题,如蠕虫、帐户泄露。某些跨站点脚本漏洞可被利用来操纵或窃取cookie,创建可能被误认为有效用户的请求,破坏机密信息或在最终用户系统上执行恶意代码以用于各种恶意目的。

从2019年1月至2019年5月,CVE中共有668条漏洞信息与其相关。部分漏洞如下:

CVE概述
CVE-2019-9709在 Mahara 17.10 、17.10.8、18.04、18.04.4、18.10 发现了一个问题。由于在查看集合的 SmartEvidence 概述页面(如果打开该功能)时没有转义,集合标题很容易受到跨站点脚本(XSS)的攻击。任何已登录的用户都可以利用此功能。
CVE-2019-1852Cisco Prime 网络注册器基于Web的管理界面中的漏洞可能允许未经身份验证的远程攻击者对基于Web的界面的用户进行跨站点脚本(XSS)攻击。该漏洞是由于基于Web的管理界面对用户提供的输入的验证不充分,攻击者可以通过说服界面用户单击恶意链接来利用此漏洞。
CVE-2019-1701思科自适应安全设备(ASA)软件和思科Firepower威胁防御(FTD)软件的WebVPN服务中的多个漏洞可能允许经过身份验证的远程攻击者对WebVPN门户网站的用户进行跨站点脚本攻击(XSS)攻击。存在漏洞是因为软件未充分验证受影响设备上的用户提供的输入。该漏洞可以允许攻击者在受影响的接口的上下文中执行任意脚本代码或访问敏感的基于浏览器的信息。

3、示例代码

本节中使用示例代码来源于 Benchmark (https://www.owasp.org/index.php/Benchmark),源文件名:BenchmarkTest00002.java。

3.1缺陷代码

36-3-1代码.png

上述示例代码是获取请求数据并将该数据与静态变量拼接并输出到网页中。第51行获取请求中的所有 Cookie 赋值给 Cookie 数组 theCookies,在第55行遍历 theCookies 并进行判断,当 Cookie 名为 “BenchmarkTest00002” 时对该 Cookie 进行以 UTF-8 解码并赋值给变量 param。第68行将静态常量 testfileDirparam 进行拼接赋值给 fileName。第71行~73行对 fileName 的内容进行 HTML 编码并输出到页面。其中Cookie为不受信任的数据,当Cookie中包含“<script> </script>”,“<img>”标签时,Web浏览器会将以上内容默认为可执行的内容,导致XSS的产生。

使用代码卫士对上述示例代码进行检测,可以检出“弱验证”缺陷,显示等级为中。在代码行第72行报出缺陷,如图1所示:

36-3-1图.png

图1:弱验证的检测示例


3.2 修复代码

36-3-2代码.png

在上述修复代码中,在第71行对 fileName 进行白名单过滤,再将过滤后的内容进行转义。这样可以更安全、有效地避免弱验证。

使用代码卫士对修复后的代码进行检测,可以看到已不存在“弱验证”缺陷。如图2:

36-3-2图.png

图2:修复后检测结果

4、  如何避免弱验证

1、对用户的输入进行合理验证(如年龄只能是数字),对特殊字符(如<、>、'、"以及javascript标签等进行过滤。

2、根据数据将要置于HTML上下文中的不同位置(HTML标签、HTML属性、JavaScript脚本、CSS、URL),对所有不可信数据进行恰当的输出编码。

3、设置HttpOnly属性,避免攻击者利用跨站脚本漏洞进行Cookie劫持攻击。



推荐阅读

【缺陷周话】第 35 期:除数为零

【缺陷周话】第 34 期:重定向

【缺陷周话】第 33期:错误的资源关闭

【缺陷周话】第 32期:弱加密

【缺陷周话】第 31 期:错误的内存释放方法

【缺陷周话】第 30 期:不安全的哈希算法

【缺陷周话】第 29 期:返回栈地址

【缺陷周话】第 28 期:被污染的内存分配

【缺陷周话】第 27 期:不安全的随机数

【缺陷周话】第 26期:被污染的格式化字符串

【缺陷周话】第 25期:硬编码密码

【缺陷周话】第 24期:在scanf 函数中没有对 %s 格式符进行宽度限制

【缺陷周话】第 23期:双重检查锁定

【缺陷周话】第 22期:错误的内存释放对象

【缺陷周话】第 21 期:数据库访问控制

【缺陷周话】第 20 期:无符号整数回绕

【缺陷周话】第19期:LDAP 注入

【缺陷周话】第18 期  XPath 注入

【缺陷周话】第17 期:有符号整数溢出

【缺陷周话】第 16 期 — 资源未释放:流

【缺陷周话】第 15 期 — 资源未释放:文件

【缺陷周话】第 14 期 :HTTP 响应截断

【缺陷周话】第 13期 :二次释放

【缺陷周话】第 12期 :存储型 XSS

【缺陷周话】第 11期 :释放后使用

【缺陷周话】第 10 期 :反射型 XSS

【缺陷周话】第 9 期 :缓冲区下溢

【缺陷周话】第 8 期 :路径遍历

【缺陷周话】第 7 期 :缓冲区上溢

【缺陷周话】第 6 期 :命令注入

【缺陷周话】第5期 :越界访问

【缺陷周话】第4期 :XML 外部实体注入

【缺陷周话】第3期 :内存泄漏

【缺陷周话】第 2 期 :SQL 注入

【缺陷周话】第1期 :空指针解引用

*奇安信代码卫士团队原创出品。未经许可,禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。


?wx_fmt=jpeg



# 代码审计 # 安全缺陷分析
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者