webdevqa.jp.net

URL内のこれらの文字(%25u、%25U)は、どのようにセキュリティリスクをもたらしますか?

以下のように、属性badurlcharsのASCII/URLエンコード文字のリストで「%25u,%25U」に出くわしたときに、いくつかのSiteMinder Apache 2.2WebAgent構成ファイルを確認していました。

[Wed Jun 19 2013 05:04:14] badurlchars='//,./,/.,/*,*.,~,\,%00-%1f,%7f-%ff,%25u,%25U'.

基本的に、WebAgentは、'?'文字の前にあるURLに上記の文字を含む要求を拒否します。

これで、badurlchars属性にASCII文字自体またはその文字のURLエンコード形式を含めることができることがわかりました。 [SiteMinderリファレンス]

では、この場合、「%25u,%25U」は何を意味し、なぜそれらがこのリストに配置されるのでしょうか。これらがセキュリティリスクをどのようにもたらすかを知ることも、間接的に私の質問に答えると思います。


更新1:

私は このDebianバグレポート に出くわしました。これは、アンパサンドを含むURLが解析され、アンパサンドがxdg-openに変換されてから%uにエンコードされる%25uのバグについて説明しています。今、私はDebianの専門家ではありませんが、これはURLで%25uをブロックすることが理にかなっているセキュリティ上の欠陥である可能性がありますか?


更新2:

文字%25u/%25UはASCIIデバイス制御文字 EM(End Of Medium)

から w3schools

ASCII Character:  EM
HTML Entity Code: 
Description:      end of medium

クイックノート:ASCII文字%3710進数)は、%25(16進数)の後に パーセントエンコーディング[Reference1][Reference2]

2
Kent Pawar

あなたが見ているのは、 正規化攻撃 を打ち負かそうとする試みだと思います。攻撃者は、エンコードされた文字をURLまたはその他の入力値に埋め込んで、セキュリティフィルターで見逃される可能性があります。システムはデコードされ、悪意のある目的で使用されます。これらの種類の攻撃は通常、アクセスできない場所に移動したり、不正な入力を注入したりするために使用されます。

詳細はこちら: https://www.owasp.org/index.php/Canonicalization,_locale_and_Unicode

1
Frank Thomas