Уязвимости, которые может обнаруживать FAST
FAST способен обнаружить множество уязвимостей. Их список приведен ниже.
Для каждого элемента в списке указан код Валарм, соответствующий уязвимости.
Для большинства уязвимостей также указаны один или несколько кодов из списка распространенных слабых мест в безопасности программного обеспечения (англ. Common Weakness Enumeration, CWE).
Cписок уязвимостей
Аномалия
Код CWE: нет.
Код Валарм: anomaly
Описание:
Аномалия — особый тип уязвимостей, который характеризуется нетипичной реакцией приложения на полученный запрос.
Обнаруженная аномалия указывает на слабое и потенциально уязвимое место в приложении, которое может быть использовано злоумышленником либо для прямой атаки на приложение, либо для сбора информации перед атакой.
Атака на внешние XML-сущности (англ. XML External Entity, XXE)
Код CWE: CWE-611
Код Валарм: xxe
Описание
Уязвимость к атаке XXE заключается в том, что злоумышленник способен внедрить внешние сущности в структуру XML-документов, которые будут обработаны XML-парсером и выполнены на целевом веб-сервере.
В результате реализации атаки злоумышленник будет иметь возможности для:
- получения доступа к конфиденциальным данным веб-приложения;
- осуществления атаки SSRF;
- сканирования внутренней сети;
- чтения локальных файлов на веб-сервере;
- осуществления DoS-атак.
Данная уязвимость существует из-за отсутствия запрета на разрешение внешних сущностей XML в веб-приложении.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- отключить разрешение внешних XML-сущностей при работе с пользовательскими XML-документами;
- воспользоваться рекомендациями из OWASP XXE Prevention Cheatsheet.
Инъекция шаблона на стороне сервера (англ. Server Side Template Injection, SSTI)
Код CWE: CWE-94, CWE-159
Код Валарм: ssti
Описание
Уязвимость к атаке типа «Server-Side Template Injection» позволяет злоумышленнику внедрить в форму пользовательского ввода исполняемую конструкцию, которая в результате будет обработана шаблонизатором на стороне веб-сервера.
В результате эксплуатации данной уязвимости злоумышленник имеет возможность создавать произвольные запросы к веб-серверу, обращаться к его файловой системе, а также при определенных условиях удаленно выполнять произвольный код (атака RCE).
Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных пользовательских данных.
Рекомендации по устранению
Вы можете последовать следующей рекомендации: параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
Межсайтовая подделка запросов (англ. Cross-Site Request Forgery, CSRF)
Код CWE: CWE-352
Код Валарм: csrf
Описание
CSRF — вид атаки на пользователей веб-приложения, которая позволяет злоумышленнику выполнять запросы от имени пользователя в уязвимом веб-приложении.
Эксплуатация одноименной уязвимости возможна из-за того, что браузер пользователя при выполнении запроса с одного домена на другой автоматически добавляет в запрос пользовательские Cookies, установленные для целевого домена.
Это позволяет злоумышленнику, не имея доступа к Cookies пользователя, отправить запрос на уязвимое веб-приложение от его имени с вредоносного сайта.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- внедрить механизм защиты от CSRF атак в виде CSRF-токенов или других технологий;
- установить атрибут
SameSite
для Сookies; - воспользоваться рекомендациями из OWASP CSRF Prevention Cheatsheet.
Межсайтовый скриптинг (англ. Cross-site Scripting, XSS)
Код CWE: CWE-79
Код Валарм: xss
Описание
Межсайтовый скриптинг — это вид атаки на клиентов веб-приложения, при которой в браузере клиентов может быть исполнен произвольный код, подготовленный злоумышленником.
Различают несколько видов XSS:
Хранимый XSS (англ. Stored XSS).
Вредоносный код заранее внедрен на страницу приложения.
Уязвимость к данной атаке позволяет злоумышленнику внедрить вредоносный код в HTML-страницу веб-приложения с возможностью постоянного отображения этого кода в браузере всех клиентов, обратившихся к данной странице.
Отраженный XSS (англ. Reflected XSS).
Для произведения атаки злоумышленнику необходимо спровоцировать пользователя перейти по специально сформированной ссылке.
DOM-based XSS.
Уязвимость к DOM-based XSS-атакам появляется в случаях, когда JavaScript-код страницы веб-приложения обрабатывает отправляемые данные, и из-за ошибок в коде реализации может попытаться исполнить полученный набор данных в качестве команд языка JavaScript.
В результате реализации любой из вышеперечисленных атак в браузере клиента будет выполнен произвольный JavaScript-код, который может позволить злоумышленнику украсть пользовательскую сессию, производить запросы от имени пользователя, получить пользовательские учетные данные и выполнять иные вредоносные действия.
Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных пользовательских данных.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
- При формировании страницы веб-приложения проводить санитизацию и экранирование управляющих конструкций из динамически собирающихся данных.
- Рекомендации из OWASP XXS Prevention Cheatsheet.
Небезопасная прямая ссылка на объект (англ. Insecure Direct Object References, IDOR)
Код CWE: CWE-639
Код Валарм: idor
Описание
Функции авторизации приложения не препятствуют тому, чтобы один пользователь не мог получить доступ к данным или ресурсам другого пользователя.
Данная уязвимость возникает из-за того, что веб-приложение предоставляет возможность, изменив значение ключа, получить прямую ссылку на объект, например файл, каталог или запись в базе данных и не осуществляет соответствующий контроль доступа.
В процессе эксплуатации уязвимости злоумышленник за счёт манипуляций с параметрами запроса может получить несанкционированный доступ к конфиденциальной информации веб-приложения и пользователей.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- реализовать корректную проверку контроля доступа к ресурсам веб-приложения;
- реализовать механизм контроля доступа к ресурсам и разграничивать доступ к ним в соостветствии с правами пользователя;
- использовать косвенные ссылки на объекты;
- воспользоваться рекомендациями из OWASP IDOR Prevention Cheatsheet.
Небезопасное перенаправление (англ. Open Redirect)
Код CWE: CWE-601
Код Валарм: redir
Описание
Небезопасное перенаправление - это атака, в результате которой злоумышленник может перенаправить пользователя на вредоносную страницу от имени легитимного веб-приложения.
Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных данных URL-адреса.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
- Следует уведомлять пользователя о всех перенаправлениях и запрашивать их подтверждение для перехода по ссылке.
Подделка запросов на стороне сервера (англ. Server-Side Request Forgery, SSRF)
Код CWE: CWE-918
Код Валарм: ssrf
Описание
SSRF - вид атаки на веб-сервер, которая позволяет злоумышленнику выполнять запросы от имени веб-сервера. Реализация данной атаки может привести к получению информации о локальных портах уязвимого веб-приложения, сканированию внутренней сети, а также обходу ограничений доступа.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
- Рекомендации из OWASP SSRF Prevention Cheatsheet.
Раскрытие информации (англ. Information Exposure)
Код CWE: CWE-200 (смотрите также: CWE-209, CWE-215, CWE-538, CWE-541, CWE-548)
Код Валарм: info
Описание
Исследуемое приложение производит преднамеренное или непреднамеренное раскрытие информации субъекту, который явно не уполномочен иметь доступ к этой информации.
Рекомендации по устранению
Вы можете последовать следующей рекомендации: исключить вывод конфиденциальной информации на страницах веб-приложения.
Удаленное выполнение кода (англ. Remote Code Execution, RCE)
Коды CWE: CWE-78, CWE-94 и другие
Код Валарм: rce
Описание
Злоумышленник может внедрить вредоносный код в запрос к веб-приложению, который затем будет исполнен веб-приложением.
Также злоумышленник может попытаться выполнить определенные команды операционной системы, в которой запущено уязвимое веб-приложение.
В результате реализации атаки злоумышленнику может стать доступен широкий спектр действий, включающий в себя:
- влияние на целостность, доступность и конфиденциальность данных веб-приложения;
- получение контроля за операционной системой и сервером, которые обеспечивают выполнение веб-приложения;
- иные возможности.
Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных пользовательских данных.
Рекомендации по устранению
Вы можете последовать следующей рекомендации: параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
Уязвимость в механизмах аутентификации (англ. Authentication Bypass)
Код CWE: CWE-288
Код Валарм: auth
Описание
Программное обеспечение реализует механизм аутентификации пользователей, но приложение имеет альтернативные каналы аутентификации, позволяющие обойти основной механизм или воспользоваться его недочетами, для получения доступа с правами пользователя или администратора.
В результате наличия данной уязвимости, потенциальный злоумышленник может получить доступ к конфиденциальным данным пользователей или получить доступ к управлению приложением с правами администратора.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- устранить недочеты существующего механизма аутентификации;
- устранить любые сторонние каналы аутентификации, позволяющие потенциальным злоумышленникам получать доступ к приложению без прохождения корректного процесса аутентификации;
- воспользоваться рекомендациями из OWASP Authentication Cheatsheet.
LDAP-инъекция (англ. LDAP Injection)
Код CWE: CWE-90
Код Валарм: ldapi
Описание
LDAP-инъекции — это класс атак, который позволяет злоумышленнику внедрить мета-символы фильтров поиска в запрос к структуре LDAP, хранящейся на сервере.
В результате реализации атаки злоумышленник может получить доступ к чтению/изменению конфиденциальной информации о пользователях и нодах, представленных в структуре LDAP.
Уязвимость к атакам данного типа возникает из-за некорректной фильтрации входных пользовательских данных.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
- Рекомендации из OWASP LDAP Injection Prevention Cheatsheet.
NoSQL-инъекция (англ. NoSQL Injection)
Код CWE: CWE-943
Код Валарм: nosqli
Описание
NoSQL-инъекции — это класс атак, которые позволяют злоумышленнику получить возможность доступа к конфиденциальным данным веб-приложения. Атаки этого типа реализуются из-за недостаточной фильтрации входных пользовательских данных, путем внедрения специально сконструированного запроса к NoSQL-базе данных.
Рекомендации по устранению
Вы можете последовать следующей рекомендации: параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
Path Traversal
Код CWE: CWE-22
Код Валарм: ptrav
Описание
Path Traversal - это тип атаки, которая позволяет злоумышленнику получить доступ к конфиденциальным файлам и каталогам, хранящимся в файловой системе веб-приложения с помощью изменения существующих путей к файлам через параметры веб-приложения.
Уязвимость к данному типу атак возникает из-за некорректной фильтрации пользовательских данных при запросе пользователем файлов или директорий через веб-приложение.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
- Дополнительные рекомендации по предотвращению данного типа атак доступны здесь.
SQL-инъекция (англ. SQL Injection)
Код CWE: CWE-89
Код Валарм: sqli
Описание
Атака этого типа реализуется из-за недостаточной фильтрации входных пользовательских данных, путем внедрения специально сконструированного SQL-запроса.
Уязвимость к атаке типа «SQL-инъекция» позволяет злоумышленнику внедрить в выполняемый запрос к базе данных произвольный SQL-код, получив возможность доступа к конфиденциальным данным, их изменению, а также выполнению операций по администрированию СУБД.
Рекомендации по устранению
Вы можете последовать следующим рекомендациям:
- Параметры, получаемые веб-приложением, должны проходить процессы санитизации (англ. sanitization) и фильтрации для предотвращения исполнения управляющих конструкций.
- Рекомендации из OWASP SQL Injection Prevention Cheatsheet.
results matching ""
No results matching ""
results matching ""
No results matching ""