Bagaimana karakter ini (% 25u,% 25U) dalam URL, menimbulkan risiko keamanan?


2

Saya sedang meninjau beberapa file konfigurasi SiteMinder APACHE 2.2 WebAgent ketika saya menemukan ' %25u,%25U' dalam daftar karakter yang dikodekan ASCII / URL dalam atribut badurlcharsseperti di bawah ini:

[Wed Jun 19 2013 05:04:14] badurlchars='//,./,/.,/*,*.,~,\,%00-%1f,%7f-%ff,%25u,%25U'.

Pada dasarnya WebAgent akan menolak permintaan apa pun yang berisi karakter di atas dalam URL yang terjadi sebelum '?'karakter.

Sekarang saya tahu bahwa badurlcharsatribut dapat berisi karakter ASCII itu sendiri atau bentuk URL-karakter yang dikodekan oleh URL. [Referensi SiteMinder]

Jadi apa yang %25u,%25Uditandakan dalam kasus ini dan mengapa mereka ditempatkan dalam daftar ini? Saya kira mencari tahu bagaimana ini menimbulkan risiko keamanan juga secara tidak langsung akan menjawab pertanyaan saya.


PEMBARUAN 1:

Saya menemukan laporan bug Debian ini yang berbicara tentang bug di xdg-openmana URL yang berisi ampersand diuraikan dan sebuah ampersand dikonversi menjadi %uyang kemudian disandikan %25u. Sekarang saya bukan ahli Debian tetapi mungkinkah ini merupakan kelemahan keamanan yang masuk akal untuk diblokir %25udi URL?


PEMBARUAN 2:

Saya mendapat respons yang mengatakan bahwa karakter %25u/ %25Umerujuk ke ASCII Device Control Character EM (End Of Medium) .

Dari w3schools :

ASCII Character:  EM
HTML Entity Code: 
Description:      end of medium

Catatan cepat: Karakter ASCII %( 37dalam desimal) direpresentasikan sebagai %25 (heksadesimal) setelah penyandian persen . [Referensi1] [Referensi2]

Jawaban:


1

Saya percaya apa yang Anda lihat adalah upaya untuk mengalahkan Serangan Kanonisasi di mana penyerang berupaya menanamkan karakter yang disandikan ke dalam URL atau nilai input lainnya, sehingga mungkin terlewatkan oleh filter keamanan, membaca ke dalam sistem, membaca sandi, dan kemudian digunakan untuk niat buruk. serangan semacam ini biasanya digunakan untuk menavigasi ke tempat-tempat yang seharusnya tidak dapat diakses atau menyuntikkan input yang buruk.

lihat lebih lanjut di sini: https://www.owasp.org/index.php/Canonicalization,_locale_and_Unicode


1
mungkin sedikit lebih luas ... Saya menemukan ini github.com/arnemart/SafariKeywordSearch/issues/13 di mana% 25u digunakan dalam pencarian Youtube untuk memaksa pencarian karakter teks Jepang, melalui kode hex untuk versi Unicode dari teks Jepang ... dan% 25u adalah yang dibutuhkan string pencarian untuk memecahkan kode hex
Bon Gart
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.