פרצת אבטחה מסוג Path Traversal

קטגוריה ב-OWASP: MASVS-STORAGE: אחסון

סקירה כללית

נקודות חולשה של Path Traversal מתרחשות כשתוקף יכול לשלוט בחלק מהנתיב שמועבר לאחר מכן לממשקי ה-API של מערכת הקבצים ללא אימות. כתוצאה מכך, יכולות להתבצע פעולות לא מורשות במערכת הקבצים. לדוגמה, תוקף יכול להשתמש בתווים מיוחדים כמו ../ כדי לשנות באופן בלתי צפוי את יעד המשאב, על ידי יציאה מהספרייה המטורגטת.

השפעה

ההשפעה משתנה בהתאם לפעולה ולתוכן הקובץ, אבל בדרך כלל היא מובילה למחיקה של קובץ (כשכותבים קבצים), לדליפת נתונים (כשקוראים קבצים) או לשינוי הרשאות (כשמשנים את ההרשאות של קבצים או תיקיות).

פעולות מיטיגציה

מגדירים את הנתיב כגרסה הרשמית (הקנונית) באמצעות File.getCanonicalPath() ומשווים את הקידומת לספרייה הצפויה:

@Throws(IllegalArgumentException::class)
fun saferOpenFile(path: String, expectedDir: String?): File {
    val f = File(path)
    val canonicalPath = f.canonicalPath
    require(canonicalPath.startsWith(expectedDir!!))
    return f
}

public File saferOpenFile (String path, String expectedDir) throws IllegalArgumentException {
  File f = new File(path);
  String canonicalPath = f.getCanonicalPath();
  if (!canonicalPath.startsWith(expectedDir)) {
    throw new IllegalArgumentException();
  }
  return f;
}

שיטה מומלצת נוספת היא להשתמש באימות כדי לוודא שמתקבלים רק תוצאות צפויות. דוגמאות לכך:

• בדיקה אם הקובץ כבר קיים כדי למנוע מחיקה בטעות.
• בדיקה אם הקובץ המטורגט הוא היעד הצפוי כדי למנוע דליפת נתונים או שינוי שגוי של הרשאות.
• בדיקה אם הספרייה הנוכחית של הפעולה היא בדיוק כצפוי בערך המוחזר מהנתיב הקנוני.
• מוודאים שמערכת ההרשאות מוגדרת במפורש להיקף הפעולה, למשל, מוודאים שהיא לא מפעילה שירותים בתור root ומוודאים שההרשאות של הספרייה מוגדרות להיקף השירות או הפקודה שצוינו.