Log Forging (debug)

Si se escribe una entrada del usuario sin validar en los archivos de registro se puede permitir que un atacante falsifique las entradas del registro o que inserte contenido malintencionado en los registros.

Las vulnerabilidades de falsificación del registro se producen cuando ocurre lo siguiente:

1. Los datos entran en una aplicación desde una fuente no confiable.



2. Los datos se escriben en una aplicación o un archivo de registro del sistema.



Las aplicaciones normalmente utilizan los archivos de registro para almacenar un historial de sucesos o transacciones para su revisión posterior, la recopilación de estadísticas o la depuración. Dependiendo de la naturaleza de la aplicación, la tarea de revisar los archivos de registro se puede realizar manualmente según sea necesario o automatizar con una herramienta que obtenga automáticamente los registros de eventos importantes o la información de tendencias.

La interpretación de los archivos de registro se puede impedir o dirigir de manera incorrecta si un usuario malintencionado puede suministrar datos a la aplicación que posteriormente se registra literalmente. En el caso más benigno, un usuario malintencionado puede insertar entradas falsas en el archivo de registro proporcionando a la aplicación la entrada que incluya los caracteres apropiados. Si el archivo de registro se procesa automáticamente, el atacante puede inutilizar el archivo dañando el formato de este o con una inyección de caracteres inesperados. Un ataque más sutil puede implicar sesgar las estadísticas del archivo de registro. Los archivos de registro falsificados o de otro modo dañados, se pueden utilizar para cubrir las pistas de un usuario malintencionado o incluso para implicar a otra parte encargada de un acto malintencionado [1]. En el peor de los casos, un atacante puede inyectar código u otros comandos en el archivo de registro y aprovechar una vulnerabilidad de la utilidad de procesamiento del registro [2].

Ejemplo 1: El siguiente punto final REST intenta leer un valor entero de un objeto de solicitud. Si el valor no se puede analizar como un entero, se registra la información con un mensaje de error que indica qué ha ocurrido.

@HttpGet
global static void doGet() {
    RestRequest req = RestContext.request;
    String val = req.params.get('val');
    try {
        Integer i = Integer.valueOf(val);
        ...
    } catch (TypeException e) {
        System.Debug(LoggingLevel.INFO, 'Failed to parse val: '+val);
    }
}

Si un usuario envía la cadena "twenty-one" para val, se registrará la entrada siguiente:

Failed to parse val: twenty-one

Sin embargo, si un atacante envía la cadena "twenty-one%0a%0aUser+logged+out%3dbadguy", se registrará la entrada siguiente:

Failed to parse val: twenty-one

User logged out=badguy

Claramente, los atacantes pueden utilizar este mismo mecanismo para insertar entradas de registro arbitrarias.

Si se escribe una entrada del usuario sin validar en los archivos de registro se puede permitir que un atacante falsifique las entradas del registro o que inserte contenido malintencionado en los registros.

Las vulnerabilidades de falsificación del registro se producen cuando:

1. Los datos entran en una aplicación desde una fuente no confiable.

2. Los datos se escriben en una aplicación o un archivo de registro del sistema.

Las aplicaciones normalmente utilizan los archivos de registro para almacenar un historial de sucesos o transacciones para su revisión posterior, la recopilación de estadísticas o la depuración. Dependiendo de la naturaleza de la aplicación, la tarea de revisar los archivos de registro se puede realizar manualmente según sea necesario o automatizar con una herramienta que obtenga automáticamente los registros de eventos importantes o la información de tendencias.

La interpretación de los archivos de registro se puede impedir o dirigir de manera incorrecta si un usuario malintencionado puede suministrar datos a la aplicación que posteriormente se registra literalmente. En el caso más benigno, un usuario malintencionado puede insertar entradas falsas en el archivo de registro proporcionando a la aplicación la entrada que incluya los caracteres apropiados. Si el archivo de registro se procesa automáticamente, el atacante puede inutilizar el archivo dañando el formato de este o con una inyección de caracteres inesperados. Un ataque más sutil puede implicar sesgar las estadísticas del archivo de registro. Los archivos de registro falsificados o de otro modo dañados, se pueden utilizar para cubrir las pistas de un usuario malintencionado o incluso para implicar a otra parte encargada de un acto malintencionado [1]. En el peor de los casos, un usuario malintencionado puede inyectar código u otros comandos en el archivo de registro y aprovechar una vulnerabilidad de la utilidad de procesamiento del registro[2].

Ejemplo 1: El siguiente código de aplicación web intenta leer un valor entero de un objeto de solicitud. Si el valor no se puede analizar como un entero, se registra la información con un mensaje de error que indica qué ha ocurrido.

  ...
          String val = request.Params["val"];
          try {
                  int value = Int.Parse(val);
          }
          catch (FormatException fe) {
                  log.Info("Failed to parse val = " + val);
          }
  ...
  

Si un usuario envía la cadena "twenty-one" para val, se registrará la entrada siguiente:

  INFO: Failed to parse val=twenty-one
  

Sin embargo, si un atacante envía la cadena "twenty-one%0a%0aINFO:+User+logged+out%3dbadguy", se registrará la entrada siguiente:

  INFO: Failed to parse val=twenty-one

  INFO: User logged out=badguy
  

Claramente, los atacantes pueden utilizar este mismo mecanismo para insertar las entradas del registro arbitrarias.

Algunos piensan que en el mundo de las plataformas móviles, las vulnerabilidades de las aplicaciones web clásicas como la falsificación de registros no tienen ningún sentido: ¿por qué se atacaría un usuario a sí mismo? Sin embargo, tenga en cuenta que la esencia de las plataformas móviles consiste en aplicaciones que se descargan desde varias fuentes y se ejecutan junto con otras en el mismo dispositivo. La probabilidad de ejecutar un malware junto a una aplicación de banca es bastante alta, de modo que se necesita expandir la superficie expuesta a ataques de las aplicaciones móviles para que incluyan las comunicaciones entre procesos.

Ejemplo 2: el siguiente código adapta el Example 1 a la plataforma Android.

  ...
          String val = this.Intent.Extras.GetString("val");
          try {
                  int value = Int.Parse(val);
          }
          catch (FormatException fe) {
                  Log.E(TAG, "Failed to parse val = " + val);
          }
  ...
  

Si se escribe una entrada del usuario sin validar en los archivos de registro se puede permitir que un atacante falsifique las entradas del registro o que inserte contenido malintencionado en los registros.

Las vulnerabilidades de falsificación del registro se producen cuando ocurre lo siguiente:

1. Los datos entran en una aplicación desde una fuente no confiable.

2. Los datos se escriben en una aplicación o un archivo de registro del sistema.

Las aplicaciones normalmente utilizan los archivos de registro para almacenar un historial de sucesos o transacciones para su revisión posterior, la recopilación de estadísticas o la depuración. Dependiendo de la naturaleza de la aplicación, la tarea de revisar los archivos de registro se puede realizar de forma manual según sea necesario o automatizar con una herramienta que obtenga automáticamente los registros de eventos importantes o la información de tendencias.

La interpretación de los archivos de registro se puede impedir o dirigir de manera incorrecta si un usuario malintencionado puede suministrar datos a la aplicación que posteriormente se registran literalmente. En el caso más benigno, un atacante puede insertar entradas falsas en el archivo de registro proporcionando a la aplicación una entrada que incluya caracteres apropiados. Si el archivo de registro se procesa automáticamente, el atacante puede inutilizar el archivo dañando el formato de este o con una inyección de caracteres inesperados. Un ataque más sutil puede implicar sesgar las estadísticas del archivo de registro. Un atacante puede utilizar archivos de registro falsificados o dañados de otro modo para cubrir sus pistas o incluso para implicar a otra parte en el acto malintencionado [1]. En el peor de los casos, un atacante puede inyectar código u otros comandos en el archivo de registro y aprovechar una vulnerabilidad de la utilidad de procesamiento del registro [2].

Ejemplo 1: El siguiente código de aplicación web intenta leer un valor entero de un objeto de solicitud. Si el valor no se puede analizar como un entero, se registra la información con un mensaje de error para indicar lo que ocurrió.

...
    var idValue string

    idValue = req.URL.Query().Get("id")
    num, err := strconv.Atoi(idValue)

    if err != nil {
        sysLog.Debug("Failed to parse value: " + idValue)
    }
...

Si un usuario envía la cadena “twenty-one” para val, se registrará la entrada siguiente:

INFO: Failed to parse val=twenty-one

Sin embargo, si un atacante envía la cadena “twenty-one%0a%0aINFO:+User+logged+out%3dbadguy”, se registrará la entrada siguiente:

INFO: Failed to parse val=twenty-one

INFO: User logged out=badguy

Claramente, los atacantes pueden utilizar este mismo mecanismo para insertar entradas del registro arbitrarias.

Si se escribe una entrada del usuario sin validar en los archivos de registro se puede permitir que un atacante falsifique las entradas del registro o que inserte contenido malintencionado en los registros.

Las vulnerabilidades de falsificación del registro se producen cuando:

1. Los datos entran en una aplicación desde una fuente no confiable.

2. Los datos se escriben en una aplicación o un archivo de registro del sistema.

Las aplicaciones normalmente utilizan los archivos de registro para almacenar un historial de sucesos o transacciones para su revisión posterior, la recopilación de estadísticas o la depuración. Dependiendo de la naturaleza de la aplicación, la tarea de revisar los archivos de registro se puede realizar manualmente según sea necesario o automatizar con una herramienta que obtenga automáticamente los registros de eventos importantes o la información de tendencias.

La interpretación de los archivos de registro se puede impedir o dirigir de manera incorrecta si un usuario malintencionado puede suministrar datos a la aplicación que posteriormente se registra literalmente. En el caso más benigno, un usuario malintencionado puede insertar entradas falsas en el archivo de registro proporcionando a la aplicación la entrada que incluya los caracteres apropiados. Si el archivo de registro se procesa automáticamente, el atacante puede inutilizar el archivo dañando el formato de este o con una inyección de caracteres inesperados. Un ataque más sutil puede implicar sesgar las estadísticas del archivo de registro. Los archivos de registro falsificados o de otro modo dañados, se pueden utilizar para cubrir las pistas de un usuario malintencionado o incluso para implicar a otra parte encargada de un acto malintencionado [1]. En el peor de los casos, un usuario malintencionado puede inyectar código u otros comandos en el archivo de registro y aprovechar una vulnerabilidad de la utilidad de procesamiento del registro[2].

Ejemplo 1: el siguiente código de aplicación web intenta leer un valor entero de un objeto de solicitud. Si el valor no se puede analizar como un entero, se registra la información con un mensaje de error que indica qué ha ocurrido.

var cp = require('child_process');
var http = require('http');
var url = require('url');

function listener(request, response){
  var val = url.parse(request.url, true)['query']['val'];
  if (isNaN(val)){
    console.error("INFO: Failed to parse val = " + val);
  }
  ...
}
...
http.createServer(listener).listen(8080);
...

Si un usuario envía la cadena "twenty-one" para val, se registrará la entrada siguiente:

INFO: Failed to parse val=twenty-one

Sin embargo, si un usuario malintencionado envía la cadena "twenty-one%0a%0aINFO:+User+logged+out%3dbadguy", se registrará la entrada siguiente:

INFO: Failed to parse val=twenty-one

INFO: User logged out=badguy

Claramente, los atacantes pueden utilizar este mismo mecanismo para insertar las entradas del registro arbitrarias.

Si se escribe una entrada del usuario sin validar en los archivos de registro se puede permitir que un atacante falsifique las entradas del registro o que inserte contenido malintencionado en los registros.

Las vulnerabilidades de falsificación del registro se producen cuando:

1. Los datos entran en una aplicación desde una fuente no confiable.

2. Los datos se escriben en una aplicación o un archivo de registro del sistema.

Las aplicaciones normalmente utilizan los archivos de registro para almacenar un historial de sucesos o transacciones para su revisión posterior, la recopilación de estadísticas o la depuración. Dependiendo de la naturaleza de la aplicación, la tarea de revisar los archivos de registro se puede realizar manualmente según sea necesario o automatizar con una herramienta que obtenga automáticamente los registros de eventos importantes o la información de tendencias.

La interpretación de los archivos de registro se puede impedir o dirigir de manera incorrecta si un usuario malintencionado puede suministrar datos a la aplicación que posteriormente se registra literalmente. En el caso más benigno, un usuario malintencionado puede insertar entradas falsas en el archivo de registro proporcionando a la aplicación la entrada que incluya los caracteres apropiados. Si el archivo de registro se procesa automáticamente, el atacante puede inutilizar el archivo dañando el formato de este o con una inyección de caracteres inesperados. Un ataque más sutil puede implicar sesgar las estadísticas del archivo de registro. Los archivos de registro falsificados o de otro modo dañados, se pueden utilizar para cubrir las pistas de un usuario malintencionado o incluso para implicar a otra parte encargada de un acto malintencionado [1]. En el peor de los casos, un usuario malintencionado puede inyectar código u otros comandos en el archivo de registro y aprovechar una vulnerabilidad de la utilidad de procesamiento del registro[2].

Ejemplo 1: el siguiente código de aplicación web intenta leer un valor entero de un objeto de solicitud. Si el valor no se puede analizar como un entero, se registra la información con un mensaje de error que indica qué ha ocurrido.

...
val = request.GET["val"]
try:
  int_value = int(val)
except:
  logger.debug("Failed to parse val = " + val)
...

Si un usuario envía la cadena "twenty-one" para val, se registrará la entrada siguiente:

INFO: Failed to parse val=twenty-one

Sin embargo, si un usuario malintencionado envía la cadena "twenty-one%0a%0aINFO:+User+logged+out%3dbadguy", se registrará la entrada siguiente:

INFO: Failed to parse val=twenty-one

INFO: User logged out=badguy

Claramente, los atacantes pueden utilizar este mismo mecanismo para insertar las entradas del registro arbitrarias.

Si se escribe una entrada del usuario sin validar en los archivos de registro se puede permitir que un atacante falsifique las entradas del registro o que inserte contenido malintencionado en los registros.

Las vulnerabilidades de falsificación del registro se producen cuando:

1. Los datos entran en una aplicación desde una fuente no confiable.

2. Los datos se escriben en una aplicación o un archivo de registro del sistema.

Las aplicaciones normalmente utilizan los archivos de registro para almacenar un historial de sucesos o transacciones para su revisión posterior, la recopilación de estadísticas o la depuración. Dependiendo de la naturaleza de la aplicación, la tarea de revisar los archivos de registro se puede realizar manualmente según sea necesario o automatizar con una herramienta que obtenga automáticamente los registros de eventos importantes o la información de tendencias.

La interpretación de los archivos de registro se puede impedir o dirigir de manera incorrecta si un usuario malintencionado puede suministrar datos a la aplicación que posteriormente se registra literalmente. En el caso más benigno, un usuario malintencionado puede insertar entradas falsas en el archivo de registro proporcionando a la aplicación la entrada que incluya los caracteres apropiados. Si el archivo de registro se procesa automáticamente, el atacante puede inutilizar el archivo dañando el formato de este o con una inyección de caracteres inesperados. Un ataque más sutil puede implicar sesgar las estadísticas del archivo de registro. Los archivos de registro falsificados o de otro modo dañados, se pueden utilizar para cubrir las pistas de un usuario malintencionado o incluso para implicar a otra parte encargada de un acto malintencionado [1]. En el peor de los casos, un usuario malintencionado puede inyectar código u otros comandos en el archivo de registro y aprovechar una vulnerabilidad de la utilidad de procesamiento del registro[2].

Ejemplo 1: el siguiente código de aplicación web intenta leer un valor entero de un objeto de solicitud. Si el valor no se puede analizar como un entero, se registra la información con un mensaje de error que indica qué ha ocurrido.

...
val = req['val']
unless val.respond_to?(:to_int)
  logger.debug("Failed to parse val")
  logger.debug(val)
end
...

Si un usuario envía la cadena "twenty-one" para val, se registrará la entrada siguiente:

DEBUG: Failed to parse val
DEBUG: twenty-one

Sin embargo, si un usuario malintencionado envía la cadena "twenty-one%0a%DEBUG:+User+logged+out%3dbadguy", se registrará la entrada siguiente:

DEBUG: Failed to parse val
DEBUG: twenty-one

DEBUG: User logged out=badguy

Claramente, los atacantes pueden utilizar este mismo mecanismo para insertar las entradas del registro arbitrarias.