Les codeurs conquièrent la sécurité : série Share & Learn - Inclusion de fichiers locaux et traversée de chemins
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance.
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
아래 링크를 클릭하고 이 자료의 PDF를 다운로드하세요.
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
보고서 표시데모 예약하기
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Contrairement à de nombreuses vulnérabilités, l'exploitation des processus locaux d'inclusion de fichiers et de traversée de chemins à des fins malveillantes nécessite un attaquant suffisamment qualifié, pas mal de temps et peut-être un peu de chance. Cela ne veut pas dire que cette vulnérabilité peut être ignorée. Les attaquants expérimentés peuvent l'utiliser pour retourner des fichiers internes contre une organisation, cartographier une structure de répertoires ou même voler des mots de passe et des informations utilisateur qui peuvent être utilisés pour de dangereuses attaques secondaires.
Dans cet épisode, nous allons apprendre :
- Comment les pirates informatiques exploitent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins
- Pourquoi il peut être dangereux d'autoriser l'inclusion illimitée de fichiers locaux et la traversée de chemins
- Politiques et techniques qui peuvent être utilisées pour détecter et résoudre ce problème.
Comment les attaquants exploitent-ils l'inclusion de fichiers locaux et la traversée de chemins ?
Le détective de télévision classique Columbo avait l'habitude de dire « Encore une chose » juste avant de fournir une information précieuse qui permettrait de résoudre l'affaire en cours. Cela semblait sans importance à l'époque et a presque toujours été ignoré par le suspect, mais cela s'est toujours avéré être leur perte. Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins ressemblent beaucoup à cela.
Les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin utilisent le mécanisme d'inclusion de fichiers dynamique qui existe dans la plupart des frameworks de programmation tels que les scripts ASP, JSP et PHP. Pour l'inclusion de fichiers locaux, un attaquant insère le nom d'un fichier existant sur le serveur local dans une zone d'une application Web, telle qu'un en-tête ou une zone de saisie de formulaire. L'application traite l'entrée principale normalement, mais également la commande include (page) ou une commande similaire. Lors de la traversée de chemin, l'attaquant définit le chemin d'accès à un fichier suspect, en utilisant normalement les caractères point, point et barre oblique (../) comme variables. Cela ressemble beaucoup à Columbo dans la mesure où le hacker ne se soucie pas vraiment de la première partie de l'argument. C'est simplement un moyen pour eux d'ajouter « encore une chose » à la fin.
Dans les deux cas, l'attaquant doit normalement effectuer un nombre important d'essais et d'erreurs. À moins qu'ils ne connaissent très bien la structure du site, deviner la configuration des chemins et les noms de fichiers peut prendre beaucoup de temps. Cela dit, la plupart des sites suivent des modèles spécifiques et ont des répertoires et des noms de fichiers plus ou moins similaires. Cela ne prendra donc peut-être pas longtemps, comme vous le pensez. Et étant donné que le paiement est potentiellement très lucratif, les pirates informatiques sont fortement incités à essayer d'exploiter les vulnérabilités d'inclusion de fichiers locaux et de traversée de chemin une fois découvertes.
Pourquoi les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont-elles dangereuses ?
Les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins sont dangereuses car elles peuvent permettre aux attaquants d'accéder à des fichiers sensibles ou critiques. Pour les fichiers de données, le danger est que le pirate puisse obtenir quelque chose de précieux, comme les mots de passe des utilisateurs ou d'autres informations personnelles. Les fichiers de mot de passe ou de configuration utilisateur constituent souvent une cible principale, car cela permettrait d'accéder au reste du site. Les bases de données sont également des cibles privilégiées. Dans le pire des cas, des vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins pourraient permettre à un attaquant de voler l'intégralité du contenu d'une base de données.
Pour les fichiers exécutables, le danger est que l'accès à ceux-ci puisse permettre à un attaquant d'effectuer des activités malveillantes telles que la destruction d'une partie d'un site ou même le lancement d'une sorte d'attaque interne par déni de service en gaspillant les ressources du système. Mais l'ampleur du danger n'est limitée que par l'ingéniosité et les compétences de l'attaquant, ainsi que par les fichiers auxquels il peut accéder et qui existent déjà sur le serveur cible.
Supprimer la menace posée par l'inclusion de fichiers locaux et la traversée de chemins
Le danger que représentent les vulnérabilités liées à l'inclusion de fichiers locaux et à la traversée de chemins peut être éliminé grâce à de bonnes pratiques de cybersécurité. La chose la plus importante à retenir est de ne jamais autoriser la saisie par l'utilisateur dans « file include » ou dans d'autres commandes dotées de fonctions similaires. Si une application doit l'autoriser, ne le transmettez pas directement. Utilisez plutôt une carte de référence indirecte. Une carte de référence indirecte prend les données saisies par l'utilisateur et les associe à un ensemble de valeurs fiables codées en dur qui peuvent ensuite être utilisées en toute sécurité.
Comme pour de nombreuses autres vulnérabilités, portez une attention particulière à toutes les zones de saisie contrôlées par l'utilisateur, telles que les cookies, les en-têtes HTTP et les paramètres de formulaire. Les entrées autorisées doivent être mises sur liste blanche, tout le reste étant explicitement refusé. Lorsque cela n'est pas possible, utilisez la validation des entrées pour réglementer strictement les valeurs autorisées, telles que les chiffres, les valeurs alphanumériques, etc.
Informations supplémentaires sur l'inclusion de fichiers locaux et la traversée de chemins
Pour en savoir plus, vous pouvez consulter l'OWASP guide de test pour l'inclusion de fichiers locaux et les exploits de traversée de chemins. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce au démo gratuite de la plateforme Secure Code Warrior, qui forme les équipes de cybersécurité à devenir les meilleurs cyberguerriers. Pour en savoir plus sur les moyens de neutraliser cette vulnérabilité et consulter une galerie d'autres menaces présentées par des escrocs, rendez-vous sur Blog Secure Code Warrior.
목차
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior 귀사의 조직이 소프트웨어 개발 주기 전반에 걸쳐 코드를 안전하게 보호하고 사이버보안이 최우선 과제인 문화를 조성하도록 Secure Code Warrior . 애플리케이션 보안 담당자, 개발자, IT 보안 책임자 또는 보안 관련 업무에 종사하는 모든 분들을 위해, 저희는 귀사의 조직이 안전하지 않은 코드로 인한 위험을 줄일 수 있도록 돕습니다.
데모 예약하기Télécharger
%20(1).avif)
.avif)
