An attacker may provide a Unicode string to a system component that is not Unicode aware and use that to circumvent the filter or cause the classifying mechanism to fail to properly understanding the request. That may allow the attacker to slip malicious data past the content filter and/or possibly cause the application to route the request incorrectly.
Description
Attack Execution Flow
2
1
Step 1
Explore[Survey the application for user-controllable inputs] Using a browser or an automated tool, an attacker follows all public links and actions on a web site. They record all the links, the forms, the resources accessed and all other potential entry-points for the web application.
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.
Use a proxy tool to record all user input entry points visited during a manual traversal of the web application.
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.
AI Translation
[Survey the application for user-controllable inputs] Utilizzando un browser o uno strumento automatizzato, un attaccante segue tutti i link pubblici e le azioni su un sito web. Registrano tutti i link, i moduli, le risorse accessate e tutti gli altri potenziali punti di ingresso per l'applicazione web.
Utilizza uno strumento di spidering per seguire e registrare tutti i link e analizzare le pagine web per trovare punti di ingresso. Prendi nota in particolare di eventuali link che includono parametri nell'URL.
Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una navigazione manuale dell'applicazione web.
Utilizza un browser per esplorare manualmente il sito web e analizzare come è costruito. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta.
Attack Techniques
-
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.
-
Use a proxy tool to record all user input entry points visited during a manual traversal of the web application.IT: Utilizza un browser per esplorare manualmente il sito web e analizzare come è strutturato. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta.
-
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.IT: Utilizza un browser per esplorare manualmente il sito web e analizzare come è strutturato. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta.
2
Step 2
Experiment[Probe entry points to locate vulnerabilities] The attacker uses the entry points gathered in the 'Explore' phase as a target list and injects various Unicode encoded payloads to determine if an entry point actually represents a vulnerability with insufficient validation logic and to characterize the extent to which the vulnerability can be exploited.
Try to use Unicode encoding of content in Scripts in order to bypass validation routines.
Try to use Unicode encoding of content in HTML in order to bypass validation routines.
Try to use Unicode encoding of content in CSS in order to bypass validation routines.
AI Translation
[Individuazione dei punti di ingresso per localizzare vulnerabilità] L'attaccante utilizza i punti di ingresso raccolti nella fase "Explore" come lista di obiettivi e inietta payloads codificati in Unicode per determinare se un punto di ingresso rappresenta effettivamente una vulnerabilità con logica di convalida insufficiente e per caratterizzare l'estensione dello sfruttamento della vulnerabilità.
Prova a utilizzare la codifica Unicode del contenuto negli Script per bypassare le routine di convalida.
Prova a utilizzare la codifica Unicode del contenuto in HTML per bypassare le routine di convalida.
Prova a utilizzare la codifica Unicode del contenuto in CSS per bypassare le routine di convalida.
Attack Techniques
-
Try to use Unicode encoding of content in Scripts in order to bypass validation routines.
-
Try to use Unicode encoding of content in HTML in order to bypass validation routines.IT: Prova a utilizzare la codifica Unicode del contenuto negli Script per aggirare le routine di convalida.
-
Try to use Unicode encoding of content in CSS in order to bypass validation routines.IT: Prova a utilizzare la codifica Unicode del contenuto negli Script per aggirare le routine di convalida.
Mitigations
3
Assume All Input Is Malicious. Create An Allowlist That Defines All Valid Input To The Software System Based On The Requirements Specifications. Input That Does Not Match Against The Allowlist Should Not Be Permitted To Enter Into The System.
Ensure That Filtering Or Input Validation Is Applied To Canonical Data.
Ensure That The System Is Unicode Aware And Can Properly Process Unicode Data. Do Not Make An Assumption That Data Will Be In Ascii.
Consequences
Security Scopes Affected
Access Control
Authorization
Availability
Confidentiality
Integrity
Potential Impacts
Bypass Protection Mechanism
Execute Unauthorized Commands
Modify Data
Unreliable Execution
Indicators
1
Unicode encoded data is passed to APIs where it is not expected