This attack targets the use of the backslash in alternate encoding. An adversary can provide a backslash as a leading character and causes a parser to believe that the next character is special. This is called an escape. By using that trick, the adversary tries to exploit alternate ways to encode the same character which leads to filter problems and opens avenues to attack.
Description
Attack Execution Flow
3
1
Step 1
Explore[Survey the application for user-controllable inputs] Using a browser, an automated tool or by inspecting the application, an adversary records all entry points to the application.
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.
Use a proxy tool to record all user input entry points visited during a manual traversal of the web application.
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.
Manually inspect the application to find entry points.
AI Translation
[Survey the application for user-controllable inputs] Utilizzando un browser, uno strumento automatizzato o ispezionando l'applicazione, un adversary registra tutti i punti di ingresso dell'applicazione.
Utilizza uno strumento di spidering per seguire e registrare tutti i link e analizzare le pagine web per individuare i punti di ingresso. Prendi nota in particolare di eventuali link che includono parametri nell'URL.
Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una navigazione manuale dell'applicazione web.
Utilizza un browser per esplorare manualmente il sito e analizzare come è strutturato. Sono disponibili numerosi plugin per browser che facilitano l'analisi o automatizzano la scoperta.
Ispeziona manualmente l'applicazione per trovare i punti di ingresso.
Attack Techniques
-
Use a proxy tool to record all user input entry points visited during a manual traversal of the web application.
-
Use a spidering tool to follow and record all links and analyze the web pages to find entry points. Make special note of any links that include parameters in the URL.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
-
Use a browser to manually explore the website and analyze how it is constructed. Many browsers' plugins are available to facilitate the analysis or automate the discovery.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
-
Manually inspect the application to find entry points.IT: Utilizza uno strumento proxy per registrare tutti i punti di ingresso di input utente visitati durante una scansione manuale dell'applicazione web.
2
Step 2
Experiment[Probe entry points to locate vulnerabilities] The adversary uses the entry points gathered in the 'Explore' phase as a target list and attempts to escape multiple different special characters using a backslash.
Escape a special character with a backslash to bypass input validation.
Try different encodings of both the backslash and the special character to see if this bypasses input validation
AI Translation
[Individuare i punti di ingresso per individuare vulnerabilità] L'attore malevolo utilizza i punti di ingresso raccolti nella fase "Esplora" come lista di obiettivi e tenta di sfuggire a più caratteri speciali diversi usando un backslash.
Evadere un carattere speciale con un backslash per aggirare la validazione dell'input.
Prova diverse codifiche sia del backslash che del carattere speciale per verificare se questo bypassa la validazione dell'input
Attack Techniques
-
Escape a special character with a backslash to bypass input validation.
-
Try different encodings of both the backslash and the special character to see if this bypasses input validationIT: Escape a special character with a backslash to bypass input validation.
3
Step 3
Exploit[Manipulate input] Once the adversary determines how to bypass filters that filter out special characters using an escaped slash, they will manipulate the user input in a way that is not intended by the application.
AI Translation
[Manipolare l'input] Una volta che l'avversario determina come aggirare i filtri che bloccano i caratteri speciali utilizzando uno slash escape, manipolerà l'input dell'utente in modo non previsto dall'applicazione.
Mitigations
7
Be Aware Of The Threat Of Alternative Method Of Data Encoding.
Avoid Making Decisions Based On Names Of Resources (E.G. Files) If Those Resources Can Have Alternate Names.
Assume All Input Is Malicious. Create An Allowlist That Defines All Valid Input To The Software System Based On The Requirements Specifications. Input That Does Not Match Against The Allowlist Should Not Be Permitted To Enter Into The System.
Regular Expressions Can Be Used To Filter Out Backslash. Make Sure You Decode Before Filtering And Validating The Untrusted Input Data.
Any Security Checks Should Occur After The Data Has Been Decoded And Validated As Correct Data Format. Do Not Repeat Decoding Process, If Bad Character Are Left After Decoding Process, Treat The Data As Suspicious, And Fail The Validation Process.
Verify That The User-Supplied Data Does Not Use Backslash Character To Escape Malicious Characters.
In The Case Of Path Traversals, Use The Principle Of Least Privilege When Determining Access Rights To File Systems. Do Not Allow Users To Access Directories/Files That They Should Not Access.
Consequences
Security Scopes Affected
Access Control
Authorization
Availability
Confidentiality
Integrity
Potential Impacts
Bypass Protection Mechanism
Execute Unauthorized Commands
Read Data
Resource Consumption
Indicators
1
An adversary can use a fuzzer in order to probe for this vulnerability. The fuzzer should generate suspicious network activity noticeable by an intrusion detection system.