规范表示是什么意思及其对网站的潜在漏洞

Question

我在谷歌上搜索了规范表示的含义，发现了一些非常神秘的文档。 任何人都可以快速解释规范表示以及网站中针对规范表示攻击的一些典型漏洞是什么？

Answer 1

规范化是获取输入（例如文件名或字符串）并将其转换为标准表示形式的过程。

例如，如果您的 Web 应用程序仅允许访问 C:\websites\mydomain 下的文件，则通常引用文件名的任何输入都会被规范化为物理直接路径，而不是使用相对路径的路径。 如果您想打开 C:\websites\mydomain\example\example.txt 该函数的一个输入可能是 example\example.txt。 很难确定这是否超出了网站的边界，因此规范化功能将查看应用程序目录并将相对路径更改为物理路径，即 C:\websites\mydomain\example\example.txt。 这显然更容易检查，因为您只需在文件路径的开头进行字符串比较即可。

对于 HTML 输入，您采用 %20 之类的输入并通过取消编码对其进行规范化，因此这将变成一个空格。 这是一个好主意，因为不同的编码方式有很多，规范化意味着您只需检查解码后的字符串，而不是尝试覆盖所有编码变体。

基本上，您正在接受逻辑上等效的输入，并将它们转换为标准形式，然后您可以采取行动。

Answer 2

以下解释来自此处的“应用程序安全和开发 STIG”：

3.11 规范表示
出现规范表示问题
当资源名称用于
控制资源访问。 有
多种表示方法
计算机系统上的资源名称。
仅依赖于一个应用程序
控制访问的资源名称可以
错误地进行访问控制
决定是否在中指定名称
无法识别的格式。

例如，
在 Windows 中，notepad.exe 可能是
由以下文件表示和
路径名组合：

C:\Windows\System32\notepad.exe

%SystemRoot%\System32\notepad.exe

\?\C:\Windows\System32\notepad.exe

\host\c$\Windows\system32\notepad.exe

尝试限制的应用程序
仅根据
文件路径和名称可能不正确
授予或拒绝访问。 同样的问题
可能适用于其他指定资源
一个系统，例如硬和
软链接、URL、管道、共享、
目录、设备名称或数据内
文件，如果有替代编码
机制与数据一起使用。

的
以下项目可能表明潜力
规范表示问题
应用：

• 访问控制
基于资源名称的决策。

• 未能将资源名称缩减为
使用前的规范形式。

在
为了最小化规范
中的代表性问题
应用程序，执行以下操作
程序：

• 不要仅仅依赖
用于控制访问的资源名称。

• 如果
使用资源名称来控制
访问，验证名称以确保
它们的格式正确； 拒绝
所有不符合已知名称的名称
标准。

• 使用基于操作系统的
访问控制机制，例如
权限和 ACL。

Answer 3

规范化意味着将接收到的数据减少到最简单的形式，用于输入验证。

Answer 4

规范（我认为）意味着控制台输入是“典型行为”。 非规范是指输入不标准，需要专门的知识，例如linux上“vi”的输入行为。