Уязвимости, которые может обнаруживать FAST

FAST способен обнаружить множество уязвимостей. Их список приведен ниже.

Для каждого элемента в списке указан код Валарм, соответствующий уязвимости.

Для большинства уязвимостей также указаны один или несколько кодов из списка распространенных слабых мест в безопасности программного обеспечения (англ. Common Weakness Enumeration, CWE).

Cписок уязвимостей

Аномалия

Код CWE: нет.
Код Валарм: anomaly

Описание:

Аномалия — особый тип уязвимостей, который характеризуется нетипичной реакцией приложения на полученный запрос.

Обнаруженная аномалия указывает на слабое и потенциально уязвимое место в приложении, которое может быть использовано злоумышленником либо для прямой атаки на приложение, либо для сбора информации перед атакой.

Атака на внешние XML-сущности (англ. XML External Entity, XXE)

Код CWE: CWE-611
Код Валарм: xxe

Описание

Уязвимость к атаке XXE заключается в том, что злоумышленник способен внедрить внешние сущности в структуру XML-документов, которые будут обработаны XML-парсером и выполнены на целевом веб-сервере.

В результате реализации атаки злоумышленник будет иметь возможности для:

  • получения доступа к конфиденциальным данным веб-приложения;
  • осуществления атаки SSRF;
  • сканирования внутренней сети;
  • чтения локальных файлов на веб-сервере;
  • осуществления DoS-атак.

Данная уязвимость существует из-за отсутствия запрета на разрешение внешних сущностей XML в веб-приложении.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • отключить разрешение внешних XML-сущностей при работе с пользовательскими XML-документами;
  • воспользоваться рекомендациями из OWASP XXE Prevention Cheatsheet.

Инъекция шаблона на стороне сервера (англ. Server Side Template Injection, SSTI)

Код CWE: CWE-94, CWE-159
Код Валарм: ssti

Описание

Уязвимость к атаке типа «Server-Side Template Injection» позволяет злоумышленнику внедрить в форму пользовательского ввода исполняемую конструкцию, которая в результате будет обработана шаблонизатором на стороне веб-сервера.

В результате эксплуатации данной уязвимости злоумышленник имеет возможность создавать произвольные запросы к веб-серверу, обращаться к его файловой системе, а также при определенных условиях удаленно выполнять произвольный код (атака RCE).

Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных пользовательских данных.

Рекомендации по устранению

Вы можете последовать следующей рекомендации: параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.

Межсайтовая подделка запросов (англ. Cross-Site Request Forgery, CSRF)

Код CWE: CWE-352
Код Валарм: csrf

Описание

CSRF — вид атаки на пользователей веб-приложения, которая позволяет злоумышленнику выполнять запросы от имени пользователя в уязвимом веб-приложении.

Эксплуатация одноименной уязвимости возможна из-за того, что браузер пользователя при выполнении запроса с одного домена на другой автоматически добавляет в запрос пользовательские Cookies, установленные для целевого домена.

Это позволяет злоумышленнику, не имея доступа к Cookies пользователя, отправить запрос на уязвимое веб-приложение от его имени с вредоносного сайта.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • внедрить механизм защиты от CSRF атак в виде CSRF-токенов или других технологий;
  • установить атрибут SameSite для Сookies;
  • воспользоваться рекомендациями из OWASP CSRF Prevention Cheatsheet.

Межсайтовый скриптинг (англ. Cross-site Scripting, XSS)

Код CWE: CWE-79
Код Валарм: xss

Описание

Межсайтовый скриптинг — это вид атаки на клиентов веб-приложения, при которой в браузере клиентов может быть исполнен произвольный код, подготовленный злоумышленником.

Различают несколько видов XSS:

  • Хранимый XSS (англ. Stored XSS).

    Вредоносный код заранее внедрен на страницу приложения.

    Уязвимость к данной атаке позволяет злоумышленнику внедрить вредоносный код в HTML-страницу веб-приложения с возможностью постоянного отображения этого кода в браузере всех клиентов, обратившихся к данной странице.

  • Отраженный XSS (англ. Reflected XSS).

    Для произведения атаки злоумышленнику необходимо спровоцировать пользователя перейти по специально сформированной ссылке.

  • DOM-based XSS.

    Уязвимость к DOM-based XSS-атакам появляется в случаях, когда JavaScript-код страницы веб-приложения обрабатывает отправляемые данные, и из-за ошибок в коде реализации может попытаться исполнить полученный набор данных в качестве команд языка JavaScript.

В результате реализации любой из вышеперечисленных атак в браузере клиента будет выполнен произвольный JavaScript-код, который может позволить злоумышленнику украсть пользовательскую сессию, производить запросы от имени пользователя, получить пользовательские учетные данные и выполнять иные вредоносные действия.

Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных пользовательских данных.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
  • При формировании страницы веб-приложения проводить санитизацию и экранирование управляющих конструкций из динамически собирающихся данных.
  • Рекомендации из OWASP XXS Prevention Cheatsheet.

Небезопасная прямая ссылка на объект (англ. Insecure Direct Object References, IDOR)

Код CWE: CWE-639
Код Валарм: idor

Описание

Функции авторизации приложения не препятствуют тому, чтобы один пользователь не мог получить доступ к данным или ресурсам другого пользователя.

Данная уязвимость возникает из-за того, что веб-приложение предоставляет возможность, изменив значение ключа, получить прямую ссылку на объект, например файл, каталог или запись в базе данных и не осуществляет соответствующий контроль доступа.

В процессе эксплуатации уязвимости злоумышленник за счёт манипуляций с параметрами запроса может получить несанкционированный доступ к конфиденциальной информации веб-приложения и пользователей.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • реализовать корректную проверку контроля доступа к ресурсам веб-приложения;
  • реализовать механизм контроля доступа к ресурсам и разграничивать доступ к ним в соостветствии с правами пользователя;
  • использовать косвенные ссылки на объекты;
  • воспользоваться рекомендациями из OWASP IDOR Prevention Cheatsheet.

Небезопасное перенаправление (англ. Open Redirect)

Код CWE: CWE-601
Код Валарм: redir

Описание

Небезопасное перенаправление - это атака, в результате которой злоумышленник может перенаправить пользователя на вредоносную страницу от имени легитимного веб-приложения.

Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных данных URL-адреса.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
  • Следует уведомлять пользователя о всех перенаправлениях и запрашивать их подтверждение для перехода по ссылке.

Подделка запросов на стороне сервера (англ. Server-Side Request Forgery, SSRF)

Код CWE: CWE-918
Код Валарм: ssrf

Описание

SSRF - вид атаки на веб-сервер, которая позволяет злоумышленнику выполнять запросы от имени веб-сервера. Реализация данной атаки может привести к получению информации о локальных портах уязвимого веб-приложения, сканированию внутренней сети, а также обходу ограничений доступа.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
  • Рекомендации из OWASP SSRF Prevention Cheatsheet.

Раскрытие информации (англ. Information Exposure)

Код CWE: CWE-200 (смотрите также: CWE-209, CWE-215, CWE-538, CWE-541, CWE-548)
Код Валарм: info

Описание

Исследуемое приложение производит преднамеренное или непреднамеренное раскрытие информации субъекту, который явно не уполномочен иметь доступ к этой информации.

Рекомендации по устранению

Вы можете последовать следующей рекомендации: исключить вывод конфиденциальной информации на страницах веб-приложения.

Удаленное выполнение кода (англ. Remote Code Execution, RCE)

Коды CWE: CWE-78, CWE-94 и другие
Код Валарм: rce

Описание

Злоумышленник может внедрить вредоносный код в запрос к веб-приложению, который затем будет исполнен веб-приложением.
Также злоумышленник может попытаться выполнить определенные команды операционной системы, в которой запущено уязвимое веб-приложение.

В результате реализации атаки злоумышленнику может стать доступен широкий спектр действий, включающий в себя:

  • влияние на целостность, доступность и конфиденциальность данных веб-приложения;
  • получение контроля за операционной системой и сервером, которые обеспечивают выполнение веб-приложения;
  • иные возможности.

Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных пользовательских данных.

Рекомендации по устранению

Вы можете последовать следующей рекомендации: параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.

Уязвимость в механизмах аутентификации (англ. Authentication Bypass)

Код CWE: CWE-288
Код Валарм: auth

Описание

Программное обеспечение реализует механизм аутентификации пользователей, но приложение имеет альтернативные каналы аутентификации, позволяющие обойти основной механизм или воспользоваться его недочетами, для получения доступа с правами пользователя или администратора.

В результате наличия данной уязвимости, потенциальный злоумышленник может получить доступ к конфиденциальным данным пользователей или получить доступ к управлению приложением с правами администратора.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • устранить недочеты существующего механизма аутентификации;
  • устранить любые сторонние каналы аутентификации, позволяющие потенциальным злоумышленникам получать доступ к приложению без прохождения корректного процесса аутентификации;
  • воспользоваться рекомендациями из OWASP Authentication Cheatsheet.

LDAP-инъекция (англ. LDAP Injection)

Код CWE: CWE-90
Код Валарм: ldapi

Описание

LDAP-инъекции — это класс атак, который позволяет злоумышленнику внедрить мета-символы фильтров поиска в запрос к структуре LDAP, хранящейся на сервере.

В результате реализации атаки злоумышленник может получить доступ к чтению/изменению конфиденциальной информации о пользователях и нодах, представленных в структуре LDAP.

Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных пользовательских данных.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
  • Рекомендации из OWASP LDAP Injection Prevention Cheatsheet.

NoSQL-инъекция (англ. NoSQL Injection)

Код CWE: CWE-943
Код Валарм: nosqli

Описание

NoSQL-инъекции — это класс атак, которые позволяют злоумышленнику получить возможность доступа к конфиденциальным данным веб-приложения. Атаки этого типа реализуются из-за недостаточной фильтрации входных пользовательских данных, путем внедрения специально сконструированного запроса к NoSQL-базе данных.

Рекомендации по устранению

Вы можете последовать следующей рекомендации: параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.

Path Traversal

Код CWE: CWE-22
Код Валарм: ptrav

Описание

Path Traversal - это тип атаки, которая позволяет злоумышленнику получить доступ к конфиденциальным файлам и каталогам, хранящимся в файловой системе веб-приложения с помощью изменения существующих путей к файлам через параметры веб-приложения.

Уязвимость к данному типу атак возникает из-за некорректной фильтрации пользовательских данных при запросе пользователем файлов или директорий через веб-приложение.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
  • Дополнительные рекомендации по предотвращению данного типа атак доступны здесь.

SQL-инъекция (англ. SQL Injection)

Код CWE: CWE-89
Код Валарм: sqli

Описание

Атака этого типа реализуется из-за недостаточной фильтрации входных пользовательских данных, путем внедрения специально сконструированного SQL-запроса.

Уязвимость к атаке типа «SQL-инъекция» позволяет злоумышленнику внедрить в выполняемый запрос к базе данных произвольный SQL-код, получив возможность доступа к конфиденциальным данным, их изменению, а также выполнению операций по администрированию СУБД.

Рекомендации по устранению

Вы можете последовать следующим рекомендациям:

  • Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
  • Рекомендации из OWASP SQL Injection Prevention Cheatsheet.

results matching ""

    No results matching ""