Quel est le point-virgule réservé dans les Url?

La RFC 3986 URI: Syntaxe Générique spec listes un point-virgule comme réservé (sous-delim) caractère:

reserved    = gen-delims /sub-delims

gen-delims  = ":" /"/" /"?" /"#" /"[" /"]" /"@"

sub-delims  = "!" /"$" /"&" /"'" /"(" /")"
              /"*" /"+" /"," /";" /"="

Qu'est-ce que la réserve de l'objectif de l' ";" du point-virgule dans les Uri? D'ailleurs, quel est le but de tous les autres sous-delims (je ne suis au courant de fins "&", " + " et "=")?

InformationsquelleAutor Nicole | 2010-01-29

36

Il y a une explication à la fin de la section 3.3.

Côté de dot-segments
hiérarchique des chemins, un segment de chemin est
considéré comme opaque par le générique
la syntaxe. URI de la production des applications
souvent utiliser les caractères réservés
admis dans un segment de délimiter
régime spécifique ou
déréférencement de gestionnaire spécifique
les sous-composants. Par exemple, l'
point-virgule (";") et equals ("=")
les caractères réservés sont souvent utilisés
pour délimiter les paramètres et
les valeurs applicables à ce segment.
La virgule (",") réservés caractère est
souvent utilisés à des fins similaires.
Par exemple, un URI producteur
l'utilisation d'un segment, comme "nom"; v=1.1"
pour indiquer une référence à la version 1.1
de "nom", tandis qu'un autre peut
l'utilisation d'un segment, comme "nom", 1.1" à
indiquer le même. Les types de paramètre
peut être défini par le schéma spécifique
de la sémantique, mais dans la plupart des cas, la
la syntaxe de paramètre est spécifique à
la mise en œuvre de l'URI
un déréférencement de l'algorithme.

En d'autres termes, il est réservé pour que les gens qui veulent une liste délimitée par des virgules de quelque chose dans l'URL peut utiliser en toute sécurité ; comme un délimiteur, même si les parties contiennent des ;, tant que le contenu est pour cent codé. En d'autres termes, vous pouvez faire ceci:
```
foo;bar;baz%3bqux
```
et de l'interpréter en trois parties: foo, bar, baz;qux. Si le point-virgule n'ont pas un caractère réservé, le ; et %3bserait équivalent afin de l'URI peut être mal interprété comme quatre parties: foo, bar, baz, qux.
- En bref, réservé, mais pour rien en particulier. Nous l'utilisons pour encoder des informations dans Reposante requêtes.
- Merci pour l'exemple, qui aide vraiment.
- Quelqu'un peut-il donner un exemple de cela dans la vraie parole des services web?
- Une signification particulière pour le ; dans les Url HTTP?
InformationsquelleAutor Mark Byers
7

L'intention est claire si l'on remonte à les anciennes versions du cahier des charges:
```
  path_segments = segment *( "/" segment )
  segment       = *pchar *( ";" param ) 
```
Chaque segment de chemin peut inclure un
la séquence de paramètres, indiqué par le point-virgule ";" le caractère.

Je crois qu'il a ses origines dans FTP URIs.

InformationsquelleAutor McDowell
5

La Section 3.3 couvre ce - il est opaque délimiteur un URI-la production de l'application peut utiliser si commode:

Côté de dot-segments
hiérarchique des chemins, un segment de chemin est
considéré comme opaque par le générique
la syntaxe. URI de la production des applications
souvent utiliser les caractères réservés
admis dans un segment de délimiter
régime spécifique ou
déréférencement de gestionnaire spécifique
les sous-composants. Par exemple, l'
point-virgule (";") et equals ("=")
les caractères réservés sont souvent utilisés pour
délimiter les paramètres et
les valeurs applicables à ce segment. L'
la virgule (",") réservés caractère est
souvent utilisés à des fins similaires. Pour
exemple, un URI producteur peut utiliser un
segment, comme "nom"; v=1.1" à
indiquer une référence à la version 1.1 de
"nom", tandis qu'un autre peut utiliser un
segment, comme "nom", 1.1" pour indiquer
la même. Types de paramètres peuvent être
définies par le schéma-une sémantique spécifique,
mais dans la plupart des cas, la syntaxe d'un
paramètre est spécifique à l'
la mise en œuvre de l'URI
un déréférencement de l'algorithme.

InformationsquelleAutor Paul Dixon
4

Il y a des conventions autour de son utilisation actuelle qui sont intéressants. Ils parlent de quand utiliser un point-virgule ou une virgule. Dans le livre "les Services Web RESTful":

Utiliser les caractères de ponctuation pour séparer les différents éléments de données au même niveau de la hiérarchie. Utilisez des virgules, où l'ordre des éléments de matière, ... Utiliser des points-virgules lorsque l'ordre n'a pas d'importance.

InformationsquelleAutor Frank Schwieterman
2

Depuis 2014 des segments de tracé sont connus pour contribuer à Traduit de Téléchargement de Fichier attaques. Imaginons que nous avons un vulnérables à une API qui reflète ce que nous envoyez (l'URL était réel, apparemment, maintenant corrigé):
```
https://google.com/s?q=rfd%22||calc||

{"results":["q", "rfd\"||calc||","I love rfd"]}
```
Maintenant, c'est sans danger dans un navigateur comme c'est JSON, donc il ne va pas être affiché, mais le navigateur plutôt d'offrir à télécharger la réponse sous forme d'un fichier. Maintenant, voici le chemin d'accès segments de venir aider (pour l'attaquant):
```
https://google.com/s;/setup.bat;?q=rfd%22||calc||
```
Tout entre les points-virgules (;/setup.bat;) sera pas envoyé au service web, mais au lieu de cela, le navigateur va interpréter ça comme nom de fichier pour enregistrer l'API de réponse. Maintenant, un fichier appelé setup.bat sera téléchargé et exécuté sans demander au sujet des dangers de l'exécution des fichiers téléchargés à partir d'Internet (car il contient le mot "setup" dans son nom). Le contenu sera interprétée comme un fichier de commandes Windows, et le calc.exe commande sera exécutée.

Prévention:
- désinfecter votre API d'entrée (dans ce cas, elles doivent permettre les caractères alphanumériques); l'échappement est pas suffisant
- ajouter Content-Disposition: attachment; filename="whatever.txt" sur les Api qui ne sont pas rendus; Google manquait le filename partie qui fait effectivement l'attaque plus facile
- ajouter X-Content-Type-Options: nosniff en-tête de l'API réponses
InformationsquelleAutor kravietz
0

J'ai trouvé la suite de cas d'utilisation:

Ses le dernier caractère d'une entité HTML:

https://en.wikipedia.org/wiki/List_of_XML_and_HTML_character_entity_references

À utiliser l'une de ces références d'entité HTML ou XML
document, saisissez un commercial suivi par le nom de l'entité et une
point-virgule, par exemple, & pour l'esperluette ("&").

Apache Tomcat 7 (ou des versions plus récentes?!) nous comme path parameter:

https://superevr.com/blog/2011/three-semicolon-vulnerabilities

Apache Tomcat est un exemple d'un serveur web qui prend en charge le "Chemin d'accès
Les paramètres". Un paramètre path est le contenu supplémentaire après un nom de fichier,
séparés par un point-virgule. Tout contenu arbitraire après un point-virgule n'
pas d'incidence sur la page d'accueil d'un navigateur web. Cela signifie que
http://example.com/index.jsp;derp serez toujours à l'indice de rendement.jsp, et pas
certains page d'erreur.

Schéma d'URI divise par le MIME et de données:

https://en.wikipedia.org/wiki/Data_URI_scheme
Il peut contenir un caractère facultatif paramètre défini, séparé de la
partie précédente par un point-virgule (;) .
```
<img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUA
AAAFCAYAAACNbyblAAAAHElEQVQI12P4//8/w38GIAXDIBKE0DHxgljNBAAO
9TXL0Y4OHwAAAABJRU5ErkJggg==" alt="Red dot" />
```
Et il y avait un bug dans IIS5 et IIS6 de contourner fichier des restrictions de téléchargement:

https://www.owasp.org/index.php/Unrestricted_File_Upload

Liste noire des Extensions de Fichier Cette protection pourrait être contourné par: ...
en ajoutant un point-virgule après l'interdit de l'extension et
avant le droit à un (par exemple de fichier".asp;.jpg")

Conclusion:

Ne pas utiliser des points-virgules dans les Url ou ils pourraient accidentellement produire une entité HTML ou schéma d'URI.

InformationsquelleAutor mgutt

Vous devez vous connecter pour publier un commentaire.