This attack relies on the adversary using unexpected formats for representing IP addresses. Networked applications may expect network location information in a specific format, such as fully qualified domains names (FQDNs), URL, IP address, or IP Address ranges. If the location information is not validated against a variety of different possible encodings and formats, the adversary can use an alternate format to bypass application access control.
Description
Attack Execution Flow
3
1
Step 1
Explore[Survey the application for IP addresses as user input] Using a browser, an automated tool or by inspecting the application, an adversary records all entry points to the application where IP addresses are used.
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.
Use a proxy tool to record all user input entry points visited during a manual traversal of the web application.
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.
Manually inspect the application to find entry points.
AI Translation
[Indaga sull'applicazione alla ricerca di indirizzi IP come input utente] Utilizzando un browser, uno strumento automatizzato o ispezionando l'applicazione, un adversary registra tutti i punti di ingresso all'applicazione in cui vengono utilizzati indirizzi IP.
Utilizza uno strumento di spidering per seguire e registrare tutti i link e analizzare le pagine web per individuare i punti di ingresso. Prendi nota in particolare di eventuali link che includono parametri nell'URL.
Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una traversata manuale dell'applicazione web.
Utilizza un browser per esplorare manualmente il sito web e analizzare come è strutturato. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta.
Ispeziona manualmente l'applicazione per individuare i punti di ingresso.
Attack Techniques
-
Use a proxy tool to record all user input entry points visited during a manual traversal of the web application.
-
Manually inspect the application to find entry points.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
-
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
-
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
2
Step 2
Experiment[Probe entry points to locate vulnerabilities] The adversary uses the entry points gathered in the 'Explore' phase as a target list and attempts alternate IP address encodings, observing application behavior. The adversary will also attempt to access the application through an alternate IP address encoding to see if access control changes
Instead of using a URL, use the IP address that the URL resolves to
Specify a port directly to a URL input
Omit or add 'http://' or 'https://' to a URL to see if the application behaves differently
AI Translation
[Individuare i punti di ingresso per localizzare vulnerabilità] L'attore malevolo utilizza i punti di ingresso raccolti nella fase "Esplora" come lista di obiettivi e tenta codifiche alternative di indirizzi IP, osservando il comportamento dell'applicazione. L'attaccante tenterà anche di accedere all'applicazione tramite una codifica alternativa dell'indirizzo IP per verificare se il controllo degli accessi cambia.
Invece di usare un URL, utilizza l'indirizzo IP a cui l'URL si risolve
Specifica direttamente una porta in un input URL
Ometti o aggiungi "http://" o "https://" a un URL per verificare se l'applicazione si comporta diversamente
Attack Techniques
-
Specify a port directly to a URL input
-
Instead of using a URL, use the IP address that the URL resolves toIT: Specificare una porta direttamente in un input URL
-
Omit or add "http://" or "https://" to a URL to see if the application behaves differentlyIT: Specificare una porta direttamente in un input URL
3
Step 3
Exploit[Bypass access control] Using an alternate IP address encoding, the adversary will either access the application or give the alternate encoding as input, bypassing access control restrictions.
AI Translation
[Bypass access control] Utilizzando una codifica IP alternativa, l'avversario accederà all'applicazione oppure fornirà come input la codifica alternativa, aggirando così le restrizioni di controllo degli accessi.
Mitigations
3
Design: Default Deny Access Control Policies
Design: Input Validation Routines Should Check And Enforce Both Input Data Types And Content Against A Positive Specification. In Regards To Ip Addresses, This Should Include The Authorized Manner For The Application To Represent Ip Addresses And Not Accept User Specified Ip Addresses And Ip Address Formats (Such As Ranges)
Implementation: Perform Input Validation For All Remote Content.
Consequences
Security Scopes Affected
Access Control
Authorization
Confidentiality
Potential Impacts
Gain Privileges
Relationships
Parent CAPECs
Resources Required
1
The adversary needs to have knowledge of an alternative IP address encoding that bypasses the access control policy of an application. Alternatively, the adversary can simply try to brute-force various encoding possibilities.