9.1 CVE-2018-14847

Um adversário usa métodos de manipulação de caminho para explorar a validação insuficiente de entrada de um alvo para obter acesso a dados que não devem ser recuperados por pedidos comuns bem formados. Uma variedade típica deste ataque envolve especificar um caminho para um arquivo desejado junto com caracteres dot-dot-slash, resultando na API de acesso ao arquivo ou função que atravessa para fora da estrutura de diretório pretendida e para o sistema de arquivos raiz. Ao substituir ou modificar as informações esperadas do caminho, a função de acesso ou API recupera o arquivo desejado pelo atacante. Estes ataques envolvem o atacante fornecendo um caminho completo para um arquivo alvo ou usando caracteres de controle (por exemplo, separadores de caminho (/ ou ) e/ou pontos (.)) para alcançar diretórios ou arquivos desejados. Para realizar um travesamento válido do caminho, o atacante precisa saber qual é o SO subjacente para que seja utilizado o separador de arquivos adequado. O atacante faz um levantamento da aplicação alvo para identificar todas as entradas de arquivos controláveis pelo usuário [Variar entradas, procurando por resultados maliciosos] Dependendo se a aplicação a ser explorada é remota ou local, o atacante elabora a entrada maliciosa apropriada contendo o caminho do arquivo alvo ou outra sintaxe de controle do sistema de arquivos a ser passada para a aplicação [Manipular arquivos acessíveis pela aplicação] O atacante pode roubar informações ou manipular arquivos diretamente (excluir, copiar, nivelar, etc.)

Este ataque visa a codificação do URL combinado com a codificação dos caracteres da barra. Um atacante pode tirar vantagem das múltiplas formas de codificação de um URL e abusar da interpretação do URL. Um URL pode conter caracteres especiais que precisam de um tratamento de sintaxe especial para serem interpretados. Caracteres especiais são representados usando um caractere percentual seguido por dois dígitos que representam o código do octeto do caractere original (%HEX-CODE). Por exemplo, o caractere de espaço US-ASCII seria representado com %20. Isto é frequentemente referido como final fugido ou codificação percentual. Como o servidor decodifica a URL das requisições, ele pode restringir o acesso a alguns caminhos de URL, validando e filtrando as requisições de URL recebidas. Um atacante tentará criar uma URL com uma sequência de caracteres especiais que uma vez interpretada pelo servidor será equivalente a uma URL proibida. Pode ser difícil proteger contra esse ataque, uma vez que a URL pode conter outro formato de codificação como codificação UTF-8, codificação Unicode, etc. O atacante acessa o servidor usando um URL específico. O atacante tenta codificar alguns caracteres especiais no URL. O atacante descobre que alguns caracteres não são filtrados corretamente. O atacante faz um pedido de string de URL malicioso e o envia para o servidor. O servidor decodifica e interpreta a cadeia de URLs. Infelizmente como a filtragem de entrada não é feita apropriadamente, os caracteres especiais têm conseqüências prejudiciais.

Um atacante manipula entradas para o software alvo que o software alvo passa para as chamadas do sistema de arquivo no sistema operacional. O objetivo é obter acesso a, e talvez modificar, áreas do sistema de arquivos que o software alvo não pretendia ser acessível. A fim de criar uma injeção de arquivo válida, o atacante precisa saber qual é o sistema operacional subjacente para que seja usado o seperador de arquivos adequado. O atacante faz um levantamento da aplicação alvo para identificar todas as entradas controláveis pelo usuário, possivelmente como um usuário válido e autenticado [Variar entradas, procurando por resultados maliciosos] Dependendo se a aplicação a ser explorada é remota ou local, o atacante elabora a entrada maliciosa apropriada contendo o caminho do arquivo alvo ou outra sintaxe de controle do sistema de arquivos a ser passada para a aplicação [Manipular arquivos acessíveis pela aplicação] O atacante pode roubar informações ou manipular diretamente os arquivos (apagar, copiar, nivelar, etc.)

Este ataque visa o uso da contrabarra na codificação alternativa. Um adversário pode fornecer uma barra invertida como personagem principal e faz com que um interpretador acredite que o próximo personagem é especial. Isto é chamado de fuga. Ao usar esse truque, o adversário tenta explorar formas alternativas de codificar o mesmo personagem, o que leva a problemas de filtragem e abre caminhos para o ataque. Usando um navegador, uma ferramenta automatizada ou inspecionando a aplicação, um adversário registra todos os pontos de entrada na aplicação. O adversário usa os pontos de entrada reunidos na fase "Explorar" como uma lista de alvos e tenta escapar de vários caracteres especiais diferentes usando uma barra invertida. Uma vez que o adversário determina como contornar filtros que filtram caracteres especiais usando uma barra de escape, ele irá manipular a entrada do usuário de uma forma que não é pretendida pela aplicação.

Este ataque tem como alvo a codificação dos caracteres Slash. Um adversário tentaria explorar problemas comuns de filtragem relacionados com o uso dos caracteres Slash para obter acesso a recursos no hospedeiro alvo. Os sistemas guiados por directórios, tais como sistemas de ficheiros e bases de dados, tipicamente utilizam o carácter cortante para indicar a passagem entre directórios ou outros componentes do contentor. Por razões históricas obscuras, os PCs (e, como resultado, os sistemas operacionais da Microsoft) optam por usar uma barra invertida, enquanto o mundo UNIX tipicamente faz uso da barra invertida para frente. O resultado esquizofrênico é que muitos sistemas baseados em MS são necessários para entender ambas as formas da barra. Isto dá ao adversário muitas oportunidades para descobrir e abusar de uma série de problemas de filtragem comuns. O objetivo deste padrão é descobrir software de servidor que só aplica filtros a uma versão, mas não à outra. Usando um navegador, uma ferramenta automatizada ou inspecionando a aplicação, um adversário registra todos os pontos de entrada na aplicação. O adversário usa os pontos de entrada reunidos na fase "Explorar" como uma lista de destino e procura áreas onde o input do usuário é usado para acessar recursos no host de destino. O adversário tenta diferentes codificações de caracteres slash para contornar os filtros de entrada. Uma vez que o adversário determina como contornar filtros que filtram caracteres barra, ele irá manipular a entrada do usuário para incluir barras para atravessar diretórios e acessar recursos que não são destinados ao usuário.