Jump to content

Уязвимость массового присвоения

Массовое назначение — это уязвимость компьютера , при которой шаблон активной записи в веб-приложении используется для изменения элементов данных, к которым пользователю обычно не должен быть разрешен доступ, таких как пароль, предоставленные разрешения или статус администратора.

Многие платформы веб-приложений предлагают функции активной записи и объектно-реляционного сопоставления , при которых внешние данные в форматах сериализации автоматически преобразуются при вводе во внутренние объекты и, в свою очередь, в поля записей базы данных. Если интерфейс платформы для такого преобразования слишком разрешителен и разработчик приложения не помечает определенные поля как неизменяемые, можно перезаписать поля, которые никогда не предназначались для изменения извне (например, флаг разрешений администратора). [1]

Эти уязвимости были обнаружены в приложениях, написанных на Ruby on Rails . [2] АСП.NET MVC , [3] и Java платформа Play . [4]

В 2012 году массовое назначение на Ruby on Rails позволило обойти ограничения сопоставления и привело к доказательству концепции внедрения неавторизованных SSH открытых ключей в учетные записи пользователей на GitHub . [5] [6] Дальнейшие уязвимости в Ruby on Rails позволяли создавать внутренние объекты с помощью специально созданной структуры JSON . [7]

В ASP.NET Core ограничение сопоставления можно объявить с помощью [BindNever] атрибут. [8]

См. также

[ редактировать ]
  1. ^ «CWE-915: Неправильно контролируемая модификация динамически определяемых атрибутов объекта» . Перечень распространенных слабостей . НИСТ . Проверено 27 февраля 2013 г.
  2. ^ «Массовое задание» . Руководство по безопасности Ruby On Rails . Проверено 27 февраля 2013 г.
  3. ^ «Уязвимость массового присвоения в ASP.NET MVC» . АйронсХэй . Проверено 27 февраля 2013 г.
  4. ^ Альберто Соуза (2014). «Playframework, как защититься от массового присвоения» .
  5. ^ «GitHub отстраняет участника из-за взлома «массового назначения»» . ЗДнет. 2012 . Проверено 27 февраля 2013 г.
  6. ^ «[SEC][ANN] Rails 3.2.12, 3.1.11 и 2.3.17 выпущены!» . Проверено 7 января 2016 г.
  7. ^ «Уязвимость отказа в обслуживании и небезопасного создания объектов в JSON (CVE-2013-0269)» . Проверено 7 января 2016 г.
  8. ^ тдыкстра (20 июня 2023 г.). «Привязка модели в ASP.NET Core» . docs.microsoft.com .
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 6f637377d9d04aec6c9e00bfec5cdbdd__1720185540
URL1:https://arc.ask3.ru/arc/aa/6f/dd/6f637377d9d04aec6c9e00bfec5cdbdd.html
Заголовок, (Title) документа по адресу, URL1:
Mass assignment vulnerability - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)