標識函數會將未經驗證的用戶輸入內容寫入日志文件。攻擊者會利用這一行為偽造日志條目或將惡意內容注入日志。
在以下情況下會發生 Log Forging 的漏洞:
1. 數據從一個不可信賴的數據源進入應用程序。
2. 數據寫入一個應用程序或系統日志文件。
為了便于以后的審閱、統計數據收集或調試,應用程序通常使用日志文件來儲存事件或事務的歷史記錄。根據應用程序自身的特性,審閱日志文件可在必要時手動執行,或者通過工具自動執行,以獲取重要的數據點以及數據趨勢。
如果攻擊者能給應用程序提供隨后被逐字記錄到日志文件的數據,可能會妨礙日志文件的檢查,甚至基于日志數據的總結都可能是錯誤的。通過將日志條目分隔符所使用的字符包括到他們的數據中,攻擊者可能會在日志文件中插入錯誤的條目信息。如果日志文件是自動處理的,那么攻擊者可以破壞文件格式或注入意外的字符,從而使文件無法使用。更陰險的攻擊可能會導致日志文件中的統計信息發生偏差。通過偽造或其他方式,受到破壞的日志文件可用于掩護攻擊者的跟蹤軌跡,甚至還可以牽連第三方來執行惡意行為 [1]。在最糟糕是,攻擊者可以在日志文件中注入代碼或者其他的命令,充分利用日志處理實用程序 [2] 中的種種漏洞。
例 1:以下代碼從一個 CGI 腳本中接受一個由用戶提交的字符串,并試圖將其轉換為它所代表的長整數值。如果這個數值沒能被解析成整數,那么數值會隨同錯誤消息一起存入日志,提示發生的情況。
long value = strtol(val, &endPtr, 10);
if (*endPtr != '\0')
NSLog("Illegal value = %s",val);
...
val" 提交字符串 "twenty-one",則日志中會記錄以下條目:
Illegal value=twenty-one
twenty-one\n\nINFO:User logged out=evil",就會記錄以下條目:
INFO:Illegal value=twenty-one
INFO:User logged out=evil
[1] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A1 Injection
[2] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input
[3] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A2 Injection Flaws
[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3690.2 CAT II, APP3690.4 CAT II
[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3690.2 CAT II, APP3690.4 CAT II
[6] Standards Mapping - FIPS200 - (FISMA) AU, SI
[7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 117
[8] G. Hoglund, G. McGraw Exploiting Software Addison-Wesley
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.2, Requirement 10.5.2
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1, Requirement 10.5.2
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.1, Requirement 10.5.2
[12] A. Muffet The night the log was forged.