An adversary leverages the possibility to encode potentially harmful input or content used by applications such that the applications are ineffective at validating this encoding standard.
Description
Attack Execution Flow
2
1
Step 1
Explore[Survey the application for user-controllable inputs] Using a browser, an automated tool or by inspecting the application, an adversary records all entry points to the application.
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.
Use a proxy tool to record all user input entry points visited during a manual traversal of the web application.
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.
Manually inspect the application to find entry points.
AI Translation
[Survey the application for user-controllable inputs] Utilizzando un browser, uno strumento automatizzato o ispezionando l'applicazione, un adversary registra tutti i punti di ingresso dell'applicazione.
Utilizza uno strumento di spidering per seguire e registrare tutti i link e analizzare le pagine web per individuare i punti di ingresso. Prendi nota in particolare di eventuali link che includono parametri nell'URL.
Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una navigazione manuale dell'applicazione web.
Utilizza un browser per esplorare manualmente il sito e analizzare come è strutturato. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta.
Ispeziona manualmente l'applicazione per trovare i punti di ingresso.
Attack Techniques
-
Use a proxy tool to record all user input entry points visited during a manual traversal of the web application.
-
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
-
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
-
Manually inspect the application to find entry points.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
2
Step 2
Experiment[Probe entry points to locate vulnerabilities] The adversary uses the entry points gathered in the 'Explore' phase as a target list and injects various payloads using a variety of different types of encodings to determine if an entry point actually represents a vulnerability with insufficient validation logic and to characterize the extent to which the vulnerability can be exploited.
Try to use different encodings of content in order to bypass validation routines.
AI Translation
[Probe entry points to locate vulnerabilities] L'avversario utilizza i punti di ingresso raccolti nella fase "Explore" come lista di obiettivi e inietta vari payload utilizzando diversi tipi di codifiche per determinare se un punto di ingresso rappresenta effettivamente una vulnerabilità con logica di convalida insufficiente e per caratterizzare la misura in cui la vulnerabilità può essere sfruttata.
Provare a usare diverse codifiche del contenuto per bypassare le routine di convalida.
Attack Techniques
-
Try to use different encodings of content in order to bypass validation routines.
Mitigations
2
Assume All Input Is Malicious. Create An Allowlist That Defines All Valid Input To The Software System Based On The Requirements Specifications. Input That Does Not Match Against The Allowlist Should Not Be Permitted To Enter Into The System. Test Your Decoding Process Against Malicious Input.
Assume All Input Might Use An Improper Representation. Use Canonicalized Data Inside The Application; All Data Must Be Converted Into The Representation Used Inside The Application (Utf-8, Utf-16, Etc.)
Consequences
Security Scopes Affected
Access Control
Accountability
Authentication
Authorization
Availability
Confidentiality
Integrity
Non-Repudiation
Potential Impacts
Bypass Protection Mechanism
Execute Unauthorized Commands
Gain Privileges
Modify Data
Read Data
Resource Consumption
Unreliable Execution
Relationships
Parent CAPECs
Child CAPECs
CAPEC-3
Using Leading 'Ghost' Character Sequences to Bypass Input Filters
CAPEC-4
Using Alternative IP Address Encodings
CAPEC-43
Exploiting Multiple Input Interpretation Layers
CAPEC-52
Embedding NULL Bytes
CAPEC-53
Postfix, Null Terminate, and Backslash
CAPEC-64
Using Slashes and URL Encoding Combined to Bypass Validation Logic
CAPEC-71
Using Unicode Encoding to Bypass Validation Logic
CAPEC-72
URL Encoding
CAPEC-78
Using Escaped Slashes in Alternate Encoding
CAPEC-79
Using Slashes in Alternate Encoding
CAPEC-80
Using UTF-8 Encoding to Bypass Validation Logic
CAPEC-120
Double Encoding
Related ATT&CK Techniques
1
T1027
Obfuscated Files or Information
Adversaries may attempt to make an executable or file difficult to discover or analyze by encrypting, encoding, or otherwise obfuscating …