C4: Кодирование и экранирование данных

Описание

Кодирование и экранирование являются методами защиты от внедрения кода. Кодирование (обычно называемое «кодированием выходных данных») представляет собой преобразование специальных символов в эквивалентные, не опасные для интерпретатора комбинации, например, преобразование символа < в сочетание &lt; при его добавлении на HTML-страницу. Экранирование заключается в добавлении спецсимволов перед символами или строками для предотвращения их некорректной интерпретации, например, добавление символа \ перед " (двойными кавычками) позволяет интерпретировать их в качестве части текста, а не в качестве обозначения окончания строки.

Кодирование лучше всего применять непосредственно перед передачей данных интерпретатору. Если применить данный метод на слишком раннем этапе обработки запроса, то кодирование или экранирование может сказаться на использовании контента в других частях программы. Например, если перед сохранением в базе данных HTML-контент экранируется, а интерфейс автоматически экранирует эти данные еще раз, то содержимое не будет отображаться корректно из-за двойного экранирования.

Контекстное кодирование выходных данных

Контекстное кодирование выходных данных является ключевым для безопасного программирования и предотвращения межсайтового выполнения сценариев. Подобная мера защиты применяется при создании интерфейсов пользователя, непосредственно перед динамическим добавлением непроверенных данных к HTML-коду. Тип кодирования будет зависеть от места (или контекста) отображения или хранения данных в документе. Типы кодирования, рекомендуемые к использованию при создании безопасного интерфейса: кодирование сущностей или атрибутов HTML, а также кодирование JavaScript и URL.

Примеры кодирования на Java

Примеры использования кодировщика Java, обеспечивающего контекстное кодирование выходных данных, можно посмотреть на сайте проекта кодировщика Java от OWASP.

Примеры кодирования в .NET

Начиная с .NET 4.5, библиотека антимежсайтового выполнения сценариев является частью фреймворка, но не используется по умолчанию. Вы можете назначить AntiXssEncoder из этой библиотеки в качестве стандартного кодировщика вашего приложения, изменив настройки web.conf. При кодировании выходных данных необходимо учитывать контекст, т. е. использовать соответствующую функцию из библиотеки AntiXSSEncoder в зависимости от расположения данных в документе.

Примеры кодирования на PHP

Zend Framework 2

В Zend Framework 2 (ZF2) для кодирования выходных данных может быть использован ZendEscaper. Примеры контекстного кодирования можно посмотреть на странице, посвященной контекстному экранированию с помощью zend-escaper.

Другие способы кодирования и защиты от внедрений

Кодирование или экранирование может быть использовано для предотвращения других форм внедрений в контент. Например, можно нейтрализовывать некоторые специальные метасимволы при вводе данных для системных команд. Это называют «экранированием команд ОС», «экранированием shell» и т. п. Подобная защита может быть использована для предотвращения «Внедрения команд».

Существуют и другие формы экранирования, которые могут быть использованы для предотвращения внедрений, например, экранирование атрибутов XML, защищающее от различных форм внедрений XML и XML-путей, а также экранирование уникальных имен LDAP, позволяющее предотвратить различные LDAP-внедрения.

Нормализация и кодировка символов

Кодировка Юникод — это способ хранения символов с использованием нескольких байтов. При вводе данных злоумышленник может использовать Юникод, чтобы скрыть вредоносный код и получить возможность проведения различных атак. RFC 2279 описывает несколько способов кодировки текста.

Нормализация — это способ преобразования данных в простую или стандартную форму. В веб-приложениях нормализацию обычно используют для обеспечения единообразия символов всего контента при его хранении или отображении.

Защищенность от атак, связанных с нормализацией, означает отсутствие угроз безопасности приложения при вводе злоумышленником некорректно сформированных символов Юникода или любых других специально сформированных символов.

Инструменты