(OWASP汉化)攻击系列大全(六十五):Unicode编码

最新版本 (mm/dd/yy): 05/26/2009

翻译自Unicode Encoding

漏洞描述

该攻击利用了在应用程序上实施的Unicode数据格式解码机制中的缺陷。攻击者可以使用此技术对URL中的某些字符进行编码以绕过应用程序过滤器,从而访问Web服务器上的受限资源或强制浏览受保护的页面。

攻击示例

  • 设想一个包含限制目录或文件(如包括应用用户名的appusers.txt)web应用。攻击者可以使用Unicode格式对字符序列“../”(路径遍历攻击)进行编码,并尝试访问受保护的资源,如下所示:

  • 原始的目录遍历攻击URL (未使用Unicode编码):
    http://vulneapplication/../../appusers.txt

  • 使用Unicode编码的目录遍历攻击URL
    http://vulneapplication/%C0AE%C0AE%C0AF%C0AE%C0AE%C0AFappusers.txt

如上对URL进行Unicode编码将产生与第一个URL相同的结果(路径遍历攻击)。不过,如果应用配备了输入安全过滤机制,它可以拒绝包含“../”序列的任何请求,从而阻止攻击。不过,如果此机制不考虑字符编码,则攻击者可绕过并访问受保护的资源。

相关的威胁代理

相关攻击

相关的漏洞

相关防御措施

参考