خبرهای مهم:

تاریخ امروز برابر است با [ سه شنبه ۳ بهمن ۱۳۹۶ ]

روش Double Encoding

۲۱ آذر ۱۳۹۶

این نوع حمله شامل کدگذاری پارامترهای درخواستی کاربر در فرمت هگزادسیمال میشه که دو مرتبه صورت میگیره و برای دور زدن کنترل های امنیتی و ایجاد رفتارهای غیرمنتظره در اپلیکیشن استفاده میشه. این حمله امکان پذیره زیرا سرور وب اینگونه درخواست های کاربری با فرمت کدگذاری شده رو قبول می کنه.
وقتی که پارامترها دوبار کدگذاری بشن، امکان داره که بتونن از سد فیلترهای امنیتی که فقط یک بار اطلاعات رو رمزگشایی می کنن عبور کنند.
پروسه رمزگشایی دوم توسط پلتفورم backend و یا ماژول هایی که به این اطلاعات رمزگذاری شده رسیدگی می کنند اما امکانات بررسی های امنیتی مربوطه رو ندارند، انجام میشه.

یه سری کارکترهای معمول هستند که در اینگونه حملات به اپلیکیشن های تحت وب مورد استفاده قرار می گیرند. برای مثال حمله Path Traversal از “/..” استفاده می کنه، در حالی که در حمله XSS از کارکترهای “<” و “>” استفاده میشه.

این کارکترها فرمت هگزادسیمال به اطلاعات میدن و اون هارو از اطلاعات معمولی جدا می کنند.

برای مثال، “/..” در شکل هگزادسیمالی خودش به شکل “%۲E%2E%2f” در میاد. وقتی کارکتر “%” دوباره رمزگذاری بشه، به شکل “۲۵%” در میاد. نتیجه نهایی از رمزگذاری دوگانه کارکتر “/..”، کارکتر “%۲۵۲E%252E%252F” خواهد بود.

 

نویسنده: صدرا منبع: OWASP

:: نظرات

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد.

*