Log Forging

ABSTRACT

將未經驗證的用戶輸入寫入日志文件可致使攻擊者偽造日志條目或將惡意信息內容注入日志。

EXPLANATION

在以下情況下會發生 Log Forging 的漏洞：

1. 數據從一個不可信賴的數據源進入應用程序。

2. 數據被寫入應用程序或系統日志文件。

為了便于以后的審閱、統計數據收集或調試，應用程序通常使用日志文件來儲存事件或事務的歷史記錄。根據應用程序自身的特性，審閱日志文件可在必要時手動執行，也可以自動執行，即利用工具自動挑選日志中的重要事件或帶有某種傾向性的信息。

如果攻擊者可以向隨后會被逐字記錄到日志文件的應用程序提供數據，則可能會妨礙或誤導日志文件的解讀。最理想的情況是，攻擊者可能通過向應用程序提供包括適當字符的輸入，在日志文件中插入錯誤的條目。如果日志文件是自動處理的，那么攻擊者可以破壞文件格式或注入意外的字符，從而使文件無法使用。更陰險的攻擊可能會導致日志文件中的統計信息發生偏差。通過偽造或其他方式，受到破壞的日志文件可用于掩護攻擊者的跟蹤軌跡，甚至還可以牽連第三方來執行惡意行為 [1]。最糟糕的情況是，攻擊者可能向日志文件注入代碼或者其他命令，利用日志處理實用程序中的漏洞 [2]。

示例： 下列 Web 應用程序代碼會嘗試從一個請求對象中讀取整數值。如果數值未被解析為整數，輸入就會被記錄到日志中，附帶一條提示相關情況的錯誤消息。

...
string val = (string)Session["val"];
try {
int value = Int32.Parse(val);
}
catch (FormatException fe) {
log.Info("Failed to parse val= " + val);
}
...

INFO:Failed to parse val=twenty-one

INFO:Failed to parse val=twenty-one

INFO:User logged out=badguy

REFERENCES

[1] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A1 Injection

[2] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input

[3] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A2 Injection Flaws

[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3690.2 CAT II, APP3690.4 CAT II

[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3690.2 CAT II, APP3690.4 CAT II

[6] Standards Mapping - FIPS200 - (FISMA) AU, SI

[7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 117

[8] G. Hoglund, G. McGraw Exploiting Software Addison-Wesley

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.2, Requirement 10.5.2

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1, Requirement 10.5.2

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.1, Requirement 10.5.2

[12] A. Muffet The night the log was forged.