检测

内容注入

medium Web App Scanning 插件 ID 113212

语言:

简介

内容注入

描述

内容注入是一种向网页中注入任意字符的攻击。当应用程序未正确处理用户提供的数据时,攻击者可向 Web 应用程序提供内容,通常是通过随后反映在页面中的参数值来进行。此攻击通常通过传输会使用虚假的身份验证测试模式(例如)完全修改目标页面的 URL,作为社交工程攻击或与此攻击结合使用,以窃取用户的标识符。在某些情况下,此攻击还可以直接或间接导致跨站脚本漏洞。

解决方案

如要修补内容注入漏洞,切勿在 HTML 页面的代码中使用不受信任或未经筛选的数据。
不受信任的数据不仅可能来自客户端,还可能来自第三方或先前上传的文件等。
筛选不受信任的数据,这通常涉及将特殊字符转换为其 HTML 实体编码的对应项(但也存在其他方法,请参阅“参考”)。这些特殊字符包括:
* `&` * `<` * `>` * `'` * `'` * `/`
HTML 实体编码的一个示例正在将 `<` 转换为 `<`。
尽管可以筛选不受信任的输入,但 HTML 页面中有五处位置永远不应放置不受信任的输入(即使已被筛选):
1. 直接在脚本中。2. HTML 注释内部。3. 在属性名称中。4. 在标签名称中。5. 直接在 CSS 中。
其中每个位置都有自己的转义和筛选形式。

另见

http://projects.webappsec.org/w/page/13246917/Content%20Spoofing

https://owasp.org/www-community/attacks/Content_Spoofing

插件详情

严重性: Medium

ID: 113212

类型: remote

系列: Injection

发布时间: 2022/3/31

最近更新时间: 2024/1/19

扫描模板: api, full, pci, scan

风险信息

VPR

风险因素: Low

分数: 3.5

CVSS v2

风险因素: Low

基本分数: 3.5

矢量: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS 分数来源: Tenable

CVSS v3

风险因素: Medium

基本分数: 4.8

矢量: CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N

CVSS 分数来源: Tenable

参考资料信息

CWE: 74

OWASP: 2010-A1, 2013-A1, 2017-A1, 2021-A3

WASC: Improper Input Handling

CAPEC: 10, 101, 108, 120, 13, 135, 14, 24, 250, 267, 273, 28, 3, 34, 42, 43, 45, 46, 47, 51, 52, 53, 6, 64, 67, 7, 71, 72, 76, 78, 79, 8, 80, 83, 84, 9

DISA STIG: APSC-DV-002560

HIPAA: 164.306(a)(1), 164.306(a)(2)

ISO: 27001-A.14.2.5

NIST: sp800_53-SI-10

OWASP API: 2019-API8

OWASP ASVS: 4.0.2-5.2.5

PCI-DSS: 3.2-6.5.1