將未經驗證的用戶輸入寫入日志文件可致使攻擊者偽造日志條目或將惡意信息內容注入日志。
在以下情況下會發生 Log Forging 的漏洞:
1. 數據從一個不可信賴的數據源進入應用程序。
2. 數據寫入一個應用程序或系統日志文件。
為了便于以后的審閱、統計數據收集或調試,應用程序通常使用日志文件來儲存事件或事務的歷史記錄。根據應用程序自身的特性,審閱日志文件可在必要時手動執行,或者通過工具自動執行,以獲取重要的數據點以及數據趨勢。
如果攻擊者能給應用程序提供隨后被逐字記錄到日志文件的數據,可能會妨礙日志文件的檢查,甚至基于日志數據的總結都可能是錯誤的。通過將日志條目分隔符所使用的字符包括到他們的數據中,攻擊者可能會在日志文件中插入錯誤的條目信息。如果日志文件是自動處理的,那么攻擊者可以破壞文件格式或注入意外的字符,從而使文件無法使用。更陰險的攻擊可能會導致日志文件中的統計信息發生偏差。通過偽造或其他方式,受到破壞的日志文件可用于掩護攻擊者的跟蹤軌跡,甚至還可以牽連第三方來執行惡意行為 [1]。在最糟糕是,攻擊者可以在日志文件中注入代碼或者其他的命令,充分利用日志處理實用程序 [2] 中的種種漏洞。
示例:以下代碼從一個 CGI 腳本中接受一個由用戶提交的字符串,并試圖將其轉換為它所代表的長整數值。如果這個數值沒能被解析成整數,那么數值會隨同錯誤消息一起存入日志,提示發生的情況。
long value = strtol(val, &endPtr, 10);
if (*endPtr != '\0')
syslog(LOG_INFO,"Illegal value = %s",val);
...
val" 提交字符串 "twenty-one",則日志中會記錄以下條目:
Illegal value=twenty-one
twenty-one\n\nINFO:User logged out=evil",就會記錄以下條目:
INFO:Illegal value=twenty-one
INFO:User logged out=evil
[1] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A1 Injection
[2] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input
[3] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A2 Injection Flaws
[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3690.2 CAT II, APP3690.4 CAT II
[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3690.2 CAT II, APP3690.4 CAT II
[6] Standards Mapping - FIPS200 - (FISMA) AU, SI
[7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 117
[8] G. Hoglund, G. McGraw Exploiting Software Addison-Wesley
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.2, Requirement 10.5.2
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1, Requirement 10.5.2
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.1, Requirement 10.5.2
[12] A. Muffet The night the log was forged.