內容插入

medium Web App Scanning Plugin ID 113212

概要

內容插入

說明

內容插入是一種將任意字元插入網頁的攻擊。如果應用程式未正確處理使用者提供的資料,攻擊者就可以提供內容給 Web 應用程式,通常是透過隨後會在頁面中反映出來的參數值提供。此攻擊通常作為社交工程使用,或與社交工程結合使用,方法是傳輸使用偽造的驗證測試模式等完全修改目標頁面的 URL,達到竊取使用者識別碼的目的。在某些情況下,此攻擊也可直接或間接導致跨網站指令碼攻擊或用戶端 JSON 插入。

解決方案

為了修復內容插入弱點,請勿在 HTML 頁面的程式碼中使用不受信任或未經篩選的資料。
不受信任的資料不只源自用戶端,也可能源自第三方或先前上傳的檔案等。
篩選不受信任的資料通常涉及將特殊字元轉換為其 HTML 實體編碼對應項 (不過也有其他方法,請參閱參考資料)。這些特殊字元包括:
* `&` * `<` * `>` * `'` * `'` * `/`
將 `<` 轉換為 `<` 是 HTML 實體編碼的範例。
雖然可以篩選不受信任的輸入,但 HTML 頁面中有五個位置不應放置不受信任的輸入 (即使已經過篩選):
1. 直接在指令碼中放置。 2. 在 HTML 註解內放置。 3. 在屬性名稱中放置。 4. 在標籤名稱中放置。 5. 直接在 CSS 中放置。
這些位置中的每一個都有自己的逸出和篩選形式。

另請參閱

http://projects.webappsec.org/w/page/13246917/Content%20Spoofing

https://owasp.org/www-community/attacks/Content_Spoofing

Plugin 詳細資訊

嚴重性: Medium

ID: 113212

類型: remote

系列: Injection

已發布: 2022/3/31

已更新: 2024/1/19

掃描範本: api, full, pci, scan

風險資訊

VPR

風險因素: Low

分數: 3.5

CVSS v2

風險因素: Low

基本分數: 3.5

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS 評分資料來源: Tenable

CVSS v3

風險因素: Medium

基本分數: 4.8

媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

CVSS 評分資料來源: Tenable

參考資訊

CWE: 74

OWASP: 2010-A1, 2013-A1, 2017-A1, 2021-A3

WASC: Improper Input Handling

CAPEC: 10, 101, 108, 120, 13, 135, 14, 24, 250, 267, 273, 28, 3, 34, 42, 43, 45, 46, 47, 51, 52, 53, 6, 64, 67, 7, 71, 72, 76, 78, 79, 8, 80, 83, 84, 9

DISA STIG: APSC-DV-002560

HIPAA: 164.306(a)(1), 164.306(a)(2)

ISO: 27001-A.14.2.5

NIST: sp800_53-SI-10

OWASP API: 2019-API8

OWASP ASVS: 4.0.2-5.2.5

PCI-DSS: 3.2-6.5.1