From e1bb27cf7bcb23abcf4534293cdcec8ed8e7964a Mon Sep 17 00:00:00 2001 From: Anton Sixtenson Date: Sat, 5 Nov 2022 20:39:19 +0100 Subject: [PATCH 1/5] Added swedish translation --- .../resources/i18n/messages_sv.properties | 281 ++++++++++++++++++ 1 file changed, 281 insertions(+) create mode 100755 src/main/resources/i18n/messages_sv.properties diff --git a/src/main/resources/i18n/messages_sv.properties b/src/main/resources/i18n/messages_sv.properties new file mode 100755 index 00000000..0c9ca786 --- /dev/null +++ b/src/main/resources/i18n/messages_sv.properties @@ -0,0 +1,281 @@ +# Exception Code Labels +INVALID_END_POINT=Följande {0} slutpunkt är inte tillgänglig. Kontrollera slutpunktens namn från allEndPoint-anropet och prova igen. +INVALID_LEVEL=Följande {0} nivå är inte ett giltigt nivåvärde. Kontrollera vilken nivå och slutpunkt som stöds från allEndPoint-anropet och försök igen. +UNAVAILABLE_LEVEL=Följande {0} nivå i {1} slutpunkt är inte tillgänglig. Kontrollera vilken nivå och slutpunkt som stöds från allEndPoint-anropet och försök igen. +INVALID_ACCESS=Följande {0} metod är inte tillgänglig. Orsakerna kan vara felaktig synlighet eller felaktig metoddefinition. Kontrollera loggarna. +INVALID_AGRUMENTS=Följande {0} metod tilldelas inte rätt uppsättning argument. Kontrollera loggarna. +SYSTEM_ERROR=Ett systemfel uppstod. Kontrollera loggarna. + +# XSS based Injections +XSS_VULNERABILITY=Cross-Site Scripting (XSS) attacker är en typ av injektion, i vilken skadliga skript är injicerade i \ +annars ofarliga och pålitliga hemsidor. XSS attacker uppstår när en angripare använder en webbapplikation för att skicka skadlig kod, \ + vanligtvis i form av skript från webbläsarsidan, till en annan slutanvändare. Brister som tillåter denna typ av attacker att lyckas \ + är ganska utbredda och uppstår överallt där en webbapplikation använder indata från en användare i utdatan \ + den genereras utan validering eller att kodas.

En angripare kan använda XSS för att skicka skadliga skript till en intet ont anande användare. \ + Slutanvändaren\u2019s webbläsare har inget sätt att veta att skriptet inte är pålitligt, och kommer köra skriptet. \ + På grund utav att det trot att skriptet kommer från en pålitlig källa, kan det skadliga skriptet komma åt alla kakor, session tokens, \ + eller annan känslig information som lagras av webbläsaren och används på webbplatsen. Dessa skript kan till och med skriva om innehållet \ + på HTML sidan.

För mer information om XSS:
  1. Owasp XSS \ +
  2. Google Applikation Säkerhet
+ +#### AttackVector description +PERSISTENT_XSS_HTML_TAG_URL_PARAM_DIRECTLY_INJECTED_IN_DIV_TAG="comment" query parametervärdet läggs direkt till "div" taggen. +PERSISTENT_XSS_HTML_TAG_URL_PARAM_DIRECTLY_INJECTED_IN_DIV_TAG_REPLACING_IMG_AND_INPUT_TAG="comment" query parametervärdet läggs direkt till "div" taggen efter det ersatt " Denna sårbarhet är relaterad till XSS-attacker via Image taggen. Om .. +#### Attack Vector Description +XSS_DIRECT_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL parametrar läggs till direkt i src attributet för Image taggen.\ + +XSS_QUOTES_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=Citaten läggs till URL parametrarna och läggs sen direkt till src attributet för Image taggen +XSS_HTML_ESCAPE_ON_DIRECT_INPUT_SRC_ATTRIBUTE_IMG_TAG=HTML escaping görs på URL parametrarna och läggs sen direkt till i src attributet för Image taggen +XSS_HTML_ESCAPE_ON_DIRECT_INPUT_AND_REMOVAL_OF_VALUES_WITH_PARENTHESIS_SRC_ATTRIBUTE_IMG_TAG=HTML escaping tillsammans med borttagande av värden innehållandes parantes görs på URL parametrar och läggs sen direkt till src attributet av Image taggen. +XSS_QUOTES_AND_WITH_HTML_ESCAPE_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=HTML escaping görs på URL parametrar och infogas sen i citattecken in i src attributet för Image taggen. +XSS_HTML_ESCAPE_PLUS_FILTERING_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG_BUT_NULL_BYTE_VULNERABLE=URL parametrar är HTML escaped, validerade mot en whitelist för filnamn och infogade i src attributet för Image taggen, validator för validering av filnamn är dock sårbar för Null Byte injektion. +XSS_QUOTES_AND_WITH_HTML_ESCAPE_PLUS_FILTERING_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL parametrar är HTML escaped, validerade mot en whitelist för filnamn och infogade i citattecken in i src attributet för Image taggen. + +## Html Tag Injection +XSS_HTML_TAG_INJECTION=HTML tagg baserad XSS attack. +XSS_DIRECT_INPUT_DIV_TAG=HTML taggen är injicerad direkt in i div taggen. + +### Attack vectors +XSS_DIRECT_INPUT_DIV_TAG=URL-parametrar läggs till direkt i div taggen. +XSS_DIRECT_INPUT_DIV_TAG_AFTER_REMOVING_VALUES_CONTAINING_ANCHOR_SCRIPT_AND_IMG_TAG=URL parametrar läggs till direkt i div taggen om de inte har Script/Image och Anchor tagg. +XSS_DIRECT_INPUT_DIV_TAG_AFTER_REMOVING_VALUES_CONTAINING_ANCHOR_SCRIPT_IMG_TAG_AND_ALERT_KEYWORD=URL parametrar läggs till direkt i div taggen om de inte har Script/Image/Anchor tagg och Javascript och Alert nyckelord. + +# URL Redirection +## Location Header Injection +OPEN_REDIRECTION_VULNERABILITY_3XX_BASED=Öppen omdirigeringssårbarhet uppstår när en applikation innehåller användarkontrollerbar \ +data till målet för en omdirigering på ett osäkert sätt.
En angripare kan konstruera en URL innifrån applikationen som \ +orsakar en omdirigering till en godtycklig extern domän. Detta beteende kan utnyttjas för att underlätta phishing attacker mot användare av applikationen.
\ +Möjligheten att använda en autentisk applikations-URL, rikta in sig på rätt domän och med ett giltigt SSL certifikat (om SSL används), ger trovärdighet till\ +phishing attacken eftersom många användare, även om de verifierar dessa funktioner, inte kommer att märka den efterföljande omdirigeringen till en annan domän. \ +

RFC 2616 - "Hypertext Transfer Protocol - HTTP/1.1" target="_blank" definierar en rad \ + olika 3xx status koder som kommer få en webbläsare att omdirigeras till en specificerad plats och dess implementering är baserad på 3xx status koder

\ + Viktiga länkar:
    \ +
  1. WASC-38
    2. \ +
  2. CWE-601
    3. \ +
  3. Port Swigger's sårbarhetsdokumentation
    4. \ +
  4. Wiki länk for som beskriver syftet med URL omdirigering
    5. \ +
  5. Öppen lista för omdirigering payloads
    6. \ +
  6. Lägg till domän som prefix - fallstudie
    7. \ +
\ + Några myter: Är URL förkortare \u201Csårbara\u201D på grund utav öppna omdirigeringar?
+OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER="returnTo" query parameterns värde läggs till direkt till "Location" headern. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_WWW_OR_DOMAIN_IS_SAME="returnTo" query parameterns värde läggs till direkt till "Location" headern om den inte startar med "http", "www" och "https" eller om domänen är densamma som applikationen. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_WWW_//_OR_DOMAIN_IS_SAME="returnTo" query parameterns värde läggs till direkt till "Location" headern om den inte startar med "http", "www", "https" och "//" eller om domänen är densamma som applikationen. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_WWW_HTTPS_//_NULL_BYTE_OR_DOMAIN_IS_SAME="returnTo" query parameterns värde läggs till direkt till "Location" headern om den inte startar med "http", "www", "https", "//" och Null Byte eller om domänen är densamma som applikationen. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_//_WWW_%_OR_DOMAIN_IS_SAME="returnTo" query parameterns värde läggs till direkt till "Location" headern om den inte startar med "http", "www", "https", "//" och tecken mindre än ascii värdet 33 eller om domänen är densamma som applikationen. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADDED_TO_LOCATION_HEADER_BY_ADDING_DOMAIN_AS_PREFIX="returnTo" query parameterns värde läggs till direkt till "Location" headern genom att prefixa det med applikationens domännamn. + + +## Meta Tag based URL Redirection +OPEN_REDIRECTION_VULNERABILITY_META_TAG_BASED=Öppen omdirigeringssårbarhet uppstår när en applikation innehåller användarkontrollerbar \ +data till målet för en omdirigering på ett osäkert sätt.
En angripare kan konstruera en URL innifrån applikationen som \ +orsakar en omdirigering till en godtycklig extern domän. Detta beteende kan utnyttjas för att underlätta phishing attacker mot användare av applikationen.
\ +Möjligheten att använda en autentisk applikations-URL, rikta in sig på rätt domän och med ett giltigt SSL certifikat (om SSL används), ger trovärdighet till\ +phishing attacken eftersom många användare, även om de verifierar dessa funktioner, inte kommer att märka den efterföljande omdirigeringen till en annan domän. \ +

Ett HTML meta-element som specificerar tiden i sekunder före webbläsaren ska uppdatera sidan. \ +Genom att tillhandahålla en alternativ URI kan elementet användas som en tidsinställd URL omdirigering.\ + \ +Till exempel, i följande exempel kommer webbläsaren omdirigeras till example.com efter 5 sekunder:
\ + <meta http-equiv="refresh" content="5;url=http://example.com">

\ + Viktiga länkar:
    \ +
  1. WASC-38
    2. \ +
  2. CWE-601
    3. \ +
  3. Port Swigger's sårbarhetsdokumentation
    4. \ +
  4. Wiki länk for som beskriver syftet med URL omdirigering
    5. \ +
  5. Öppen lista för omdirigering payloads
    6. \ +
  6. Lägg till domän som prefix - fallstudie
    7. \ +
\ + Några myter: Är URL förkortare \u201Csårbara\u201D på grund utav öppna omdirigeringar?
+URL_REDIRECTION_META_TAG_BASED_INJECTION=Meta tagg baserad URL omdirigering. +URL_REDIRECTION_URL_PARAMETER_INJECTION_INTO_META_TAG=URL parametern läggs direkt till Meta taggen. + + + +# UNRESTRICTED_FILE_UPLOAD_VULNERABILITY +UNRESTRICTED_FILE_UPLOAD_VULNERABILITY=Uppladdade filer utgör en betydande risk för applikationer. Det första steget i många attacker är att få kod till systemet som ska attackeras. Sen behöver attacken bara hitta ett sätt att exekvera koden.\ +
Konsekvenserna av obegränsad filuppladdning kan variera, inklusive fullständig systemkapning, ett överbelastat filsystem eller databas, vidarebefodra attacker till back-end system, attacker på klientsidan, eller helt enkelt förändring av utseendet. Det beror helt på vad applikationen gör med uppladdade filer och speciellt var de lagras.\ +

\ +Viktiga länkar:
\ +
  1. Owasp Wiki Länk \ +
  2. Ebrahim Hegazy prata om obegränsad filuppladdning \ +
  3. Sans regler för att implementera säker filuppladdning \ +
+ +#### Attack Vector Description +UNRESTRICTED_FILE_UPLOAD_NO_VALIDATION_FILE_NAME=Det finns ingen validering av den uppladdade filens namn. +UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_FILE_EXTENSION=Alla filtillägg är tillåtna utom .html tillägg. +UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_NOT_HTM_FILE_EXTENSION=Alla filtillägg är tillåtna utom .html och .htm tillägg. +UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_NOT_HTM_FILE_EXTENSION_CASE_INSENSITIVE=Alla filtillägg är tillåtna utom skiftlägesokänsliga .html och .htm tillägg. +UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_CONTAINS_.PNG_OR_.JPEG_CASE_INSENSITIVE=Endast filnamn är tillåtet om det innehåller skiftlägesokänsligt .jpeg eller .png. +UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_ENDS_WITH_.PNG_OR_.JPEG_CASE_INSENSITIVE_AND_FILE_NAMES_CONSIDERED_BEFORE_NULL_BYTE=Endast filnamn är tillåtet om det slutar med skiftlägesokänsligt .jpeg eller .png och det betraktas endast före Nyll Bytes. +UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_ENDS_WITH_.PNG_OR_.JPEG_CASE_INSENSITIVE=Endast filnamn är tillåtet om det slutar med skiftlägesokänsligt .jpeg eller .png. + + +# XXE Vulnerability +XXE_VULNERABILITY=En XML External Entity attack är en typ av attack mot en \ +applikation som analyserar XML input. Denna attack uppstår när XML input innehåller \ +en referens till en extern enhet bearbetas av en svagt konfigurerad XML parser.\ +Denna attack kan leda till avslöjande av konfidentiell data, denial of service, \ +förfalskning av begäran på serversidan, port skanning från perspektivet av maskinen där \ +parsern är lokaliserad, och annan systempåverkan.\ +

\ +Viktiga Länkar:
\ +
  1. Owasp Wiki Länk \ +
  2. HackHappys video tutorial \ +
  3. Medium artikel av OneHackMan\ +
  4. Portswigger XXE dokumentation \ +
  5. Owasp Prevention cheat sheet\ +
+#### Attack Vector Description +XXE_NO_VALIDATION=Det finns ingen validering av XML som skickas i request bodyn. +XXE_DISABLE_GENERAL_ENTITY=Parser är inaktiverad från att bearbeta allmänna externa enheter. +XXE_DISABLE_GENERAL_AND_PARAMETER_ENTITY=Parser är inaktiverad från att bearbeta allmänna enheter och parameterenheter. + +# Path Traversal Attack +PATH_TRAVERSAL_VULNERABILITY=En katalogövergång (eller sökvägsövergång) består i att utnyttja otillräcklig säkerhetsvalidering/sanering av input filnamn som användaren bistått,\ +så att tecken som representerar "gå till överordnad katalog" går genom filens APIer.\ +

\ +Målet med denna attack är att använda en påverkad applikation för att få obehörig åtkomst till filsystemet.

\ +Viktiga Länkar:
\ +
  1. Wiki Länk \ +
  2. Owasp Wiki Länk \ +
+ +#### AttackVector description +PATH_TRAVERSAL_URL_PARAM_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till sövägen för att läsa filen. +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller "..". +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" vilket är URL-kodning för "/". +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" eller "%2F" vilket är URL-kodning för "/". +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller "..", tar hand om URL-kodning också. +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt till sökvägen för att läsa filen. +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_PARENT_DIRECTORY_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller "../". +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller "..". +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" vilket är URL-kodning för "/". +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" eller "%2F" vilket är URL-kodning för "/". +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller "..", tar hand om URL-kodning också. + + +# Command Injection Attack +COMMAND_INJECTION_VULNERABILITY=Kommandoinjektion är en attack där målet är exekvering av godtyckliga kommandon på värdens operativsystem\ +via en sårbar applikation. Kommandoinjektionsattacker är möjliga när en applikation skickar osäker data från användaren (formulär, cookies, HTTP headers etc.)\ +till ett systemskal. I den här attacken exekveras vanligtvis kommandon från angriparens operativsystem med samma privilegier som det sårbara programmet har.\ +Kommandoinjektionsattacker är till stor del möjliga på grund utav otillräcklig input validering.

\ +Viktiga länkar om sårbarheter för kommandoinjektion :
\ +
  1. CWE-77 \ +
  2. Owasp Wiki Länk \ +
+ +#### Attack vectors +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED="ipaddress" query parameterns värde exekveras direkt. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_NOT_PRESENT="ipaddress" query parameterns värde exekveras direkt om ";", "&" eller blanksteg inte finns i den. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_NOT_PRESENT="ipaddress" query parameterns värde exekveras direkt om ";", "&", "%26", "%3B" eller blanksteg inte finns i den. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_CASE_INSENSITIVE_NOT_PRESENT="ipaddress" query parameterns värde exekveras direkt om ";", "&", "%26", "%3B", "%3b" eller blanksteg inte finns i den. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_%7C_CASE_INSENSITIVE_NOT_PRESENT="ipaddress" query parameterns värde exekveras direkt om ";", "&", "%26", "%3B", "%3b", "%7C", "%7c" eller blanksteg inte finns i den. + + +# Local File Injection +#URL_BASED_LFI_INJECTION=Url based Local File Injection attack. +#LFI_URL_PARAM_BASED_DIRECT_INJECTION=Url Parameter \"fileName\" is directly passed to the include file. +#LFI_URL_PARAM_BASED_INJECTION_WITH_VALIDATION_ON_FILE=Url Parameter \"fileName\" is validated and passed to include file. + +# Local File Injection with Null Byte +#URL_WITH_NULL_BYTE_BASED_LFI_INJECTION=Url with Null Byte Injection based Local File Injection attack. +#LFI_URL_PARAM_AND_NULL_BYTE_BASED_DIRECT_INJECTION=Url Parameter \"fileName\" is directly passed to the include file if containing Null Byte. +#LFI_URL_PARAM_BASED_INJECTION_WITH_VALIDATION_ON_FILE=Url Parameter \"fileName\" is validated and passed to include file. + +# Remote File Injection +URL_BASED_RFI_INJECTION=Lokal URL baserad filinjektionsattack + +# JWT Injection +JWT_INJECTION_VULNERABILITY=JSON Web Token (JWT) är en öppen standard (RFC 7519) som definierar ett kompakt och fristående sätt för att\ +säkert skicka information mellan parter i form av ett JSON objekt. Denna information kan verifieras och ses som tillförlitlig eftersom\ +den är digitalt signerad. Det kan finnas flera saker som kan gå fel med implementeringen av JWT och som kan påverka autentiseringen eller auktoriseringen \ +av applikationen och resultera i fullständig kompromiss av systemet.

Viktiga länkar om JWT : \ +
  1. Wiki Länk \ +
  2. Jwt.io \ +
Viktiga länkar om sårbara implementeringar i JWT : \ +
  1. JSON Web Token bäst \ + aktuell praxis(ieft dokument) \ +
  2. \ + OWASP cheatsheet för sårbarheter i JWT implementering \ +
  3. För \ + sårbarheter på serversidan i JWT implementationer \ +
+ +#### AttackVector description +JWT_URL_EXPOSING_SECURE_INFORMATION=Förfrågan innehåller en JWT-token som är synlig i URLen. Detta kan bryta mot PCI och de flesta organisatoriska efterlevnadspolicyer. +COOKIE_CONTAINING_JWT_TOKEN_SECURITY_ATTRIBUTES_MISSING=Cookiebaserad JWT-token men utan Secure/HttpOnly flaggor och även utan cookie prefix. +COOKIE_WITH_HTTPONLY_WITHOUT_SECURE_FLAG_BASED_JWT_VULNERABILITY=Cookiebaserad JWT-token men med HttpOnly flagga mem itam Secure flagga och även utan cookie-prefix. +COOKIE_BASED_LOW_KEY_STRENGTH_JWT_VULNERABILITY=Cookiebaserad JWT-token signerad med svag nyckelsårbarhet. +COOKIE_BASED_NULL_BYTE_JWT_VULNERABILITY=Cookiebaserad Null Byte sårbar JWT-tokenvalidator. +COOKIE_BASED_NONE_ALGORITHM_JWT_VULNERABILITY=Cookiebaserad None algoritm sårbar JWT-tokenvalidator. +COOKIE_BASED_KEY_CONFUSION_JWT_VULNERABILITY=Cookiebaserad JWT-token med sårbarhet för nyckelförvirring. +COOKIE_BASED_FOR_JWK_HEADER_BASED_JWT_VULNERABILITY=Cookiebaserad JWT-tokenvalidator som är sårbar för att lita på JWK-fältet utan att kontrollera om den tillhandahållna offentliga nyckeln finns i truststore eller inte. +COOKIE_BASED_EMPTY_TOKEN_JWT_VULNERABILITY=Cookiebaserad JWT-token, sårbar för attack med tom token. + + + +# SQL Injection Vulnerability +SQL_INJECTION_VULNERABILITY=En SQL injection attack består av infogande eller "injektion" av SQL-querys via input datan \ +från klienten till applikationen. En framgångsrik SQL injektion kan läsa känslig data från databasen, modifiera databasdata (Insert/Update/Delete), \ +exekvera administrationsoperationer på databasen (som att stänga av DBMS), återställa innehållet i en given fil \ +på DBMS-filsystemet och i vissa fall utfärda kommandon till operativsystemet. SQL injektioner är en typ av injektionsattacker,\ +där SQL-kommandon injiceras in i datainmatningen för att påverka exekveringen av fördefinierade SQL-kommandon.
\ +Viktiga länkar om SQLInjection : \ +
  1. Wiki Länk \ +
  2. Owasp SQLInjection \ +
  3. Joe McCray pratar om SQLInjection\ +
  4. SQL Injection cheat sheet av netsparker\ +


Viktiga länkar om förebyggande tekniker : \ +
  1. Owasp Prevention cheatsheet \ +
  2. \ + SQL Injection kunskapsbas \ +
+ +#### AttackVector description +ERROR_SQL_INJECTION_URL_PARAM_APPENDED_DIRECTLY_TO_QUERY=Query-parametern läggs direkt till i SQL-Query vilket orsakar undantag i vissa scenarion\ + och exponerar därför applikationsinformation. +ERROR_SQL_INJECTION_URL_PARAM_WRAPPED_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=Query-parametern omsluts med "'" och läggs sen till i SQL-Query vilket orsakar undantag i vissa scenarion \ + och exponerar därför applikationsinformation. +ERROR_SQL_INJECTION_URL_PARAM_REMOVES_SINGLE_QUOTE_WRAPPED_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=Det enda citatet tas bort från Query-parametern och läggs sen till i SQL-Query genom att omslutas\ + med "'". +ERROR_SQL_INJECTION_URL_PARAM_APPENDED_TO_PARAMETERIZED_QUERY=Query-parametern läggs till direkt i SQL-Query och sedan bildas en parametrerad query. Detta för att visa att\ + korrekt användning av PreparedStatement är viktigt. +UNION_SQL_INJECTION_URL_PARAM_APPENDED_DIRECTLY_TO_QUERY=Query-parametern läggs direkt till Query och därför kan nyckelordet "Union" användas för att gruppera resultaten och\ +extrahera information från applikationen. +UNION_SQL_INJECTION_URL_PARAM_WRAPPED_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=Query-parametern omsluts med "'" och läggs sen till Query och därför kan nyckelordet "Union" användas för att gruppera resultaten och\ +extrahera information från applikationen. +UNION_SQL_INJECTION_URL_PARAM_REMOVES_SINGLE_QUOTE_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=Det enda citatet tas bort från Query-parametern och läggs sen till i SQL-Query genom att omslutas med "'"\ +och därför kan nyckelordet "Union" användas för att gruppera resultaten och extrahera information från applikationen.\ + +BLIND_SQL_INJECTION_URL_PARAM_APPENDED_DIRECTLY_TO_QUERY=Query-parametern läggs direkt till Query därför kan Query manipuleras. +BLIND_SQL_INJECTION_URL_PARAM_WRAPPED_WITH_SINGLE_QUOTE_APPENDED_TO_QUERY=Query-parametern omsluts med "'" och läggs sen till SQL-Query därför kan Query manipuleras. + + +#### SSRF Vulnerability +SSRF_VULNERABILITY=I en förfalskning av begäran på serversidan (Server-Side Request Forgery, SSRF) attack kan angriparen missbruka funktionalitet på servern för att \ +läsa eller uppdatera interna resurser. Angriparen kan tillhandahålla eller ändra en URL som koden som körs på servern kommer läsa \ +eller skicka data till, och genom att noggrant välja URL:er, kan angriparen eventuellt läsa serverns \ +konfigurationer såsom AWS metadata, ansluta till interna tjänster såsom http-aktiverade databaser eller göra POST-förfrågningar\ +till interna tjänster som inte är menade att exponeras. \ +Viktiga länkar om SSRF : \ +
    \ +
  1. Wiki Länk \ +
  2. Owasp SSRF \ +
  3. SSRF (Server Side Request Forgery) av Musab Khan\ +
+SSRF_VULNERABILITY_URL_WITHOUT_CHECK=Ingen validering på den angivna URL:en. +SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL=file:// protokollet är inte tillåtet för den angivna URL:en. +SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL_AND_169.254.169.254=file:// protokollet samt åtkomst till den interna metadatatjänsten IP 169.254.169.254 är inte tillåtet. +SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL_AND_INTERNAL_METADATA_URL=file:// protokollet samt åtkomst till den interna metadatatjänsten är inte tillåtet. +SSRF_VULNERABILITY_URL_ONLY_IF_IN_THE_WHITELIST=Bara vitlistade URL:er är tillåtna. \ No newline at end of file From 10c0f4077e1bd1a7277b72313ac7f041db0fa668 Mon Sep 17 00:00:00 2001 From: Anton Sixtenson Date: Sat, 5 Nov 2022 21:20:31 +0100 Subject: [PATCH 2/5] Corrected a few typos. --- .../resources/i18n/messages_sv.properties | 108 +++++++++--------- 1 file changed, 54 insertions(+), 54 deletions(-) diff --git a/src/main/resources/i18n/messages_sv.properties b/src/main/resources/i18n/messages_sv.properties index 0c9ca786..eb76ad69 100755 --- a/src/main/resources/i18n/messages_sv.properties +++ b/src/main/resources/i18n/messages_sv.properties @@ -1,7 +1,7 @@ # Exception Code Labels -INVALID_END_POINT=Följande {0} slutpunkt är inte tillgänglig. Kontrollera slutpunktens namn från allEndPoint-anropet och prova igen. -INVALID_LEVEL=Följande {0} nivå är inte ett giltigt nivåvärde. Kontrollera vilken nivå och slutpunkt som stöds från allEndPoint-anropet och försök igen. -UNAVAILABLE_LEVEL=Följande {0} nivå i {1} slutpunkt är inte tillgänglig. Kontrollera vilken nivå och slutpunkt som stöds från allEndPoint-anropet och försök igen. +INVALID_END_POINT=Följande {0} endpoint är inte tillgänglig. Kontrollera namnet för endpoint från allEndPoint-anropet och prova igen. +INVALID_LEVEL=Följande {0} nivå är inte ett giltigt nivåvärde. Kontrollera vilken nivå och endpoint som stöds från allEndPoint-anropet och försök igen. +UNAVAILABLE_LEVEL=Följande {0} nivå i {1} endpoint är inte tillgänglig. Kontrollera vilken nivå och endpoint som stöds från allEndPoint-anropet och försök igen. INVALID_ACCESS=Följande {0} metod är inte tillgänglig. Orsakerna kan vara felaktig synlighet eller felaktig metoddefinition. Kontrollera loggarna. INVALID_AGRUMENTS=Följande {0} metod tilldelas inte rätt uppsättning argument. Kontrollera loggarna. SYSTEM_ERROR=Ett systemfel uppstod. Kontrollera loggarna. @@ -19,34 +19,34 @@ annars ofarliga och p
  • Google Applikation Säkerhet #### AttackVector description -PERSISTENT_XSS_HTML_TAG_URL_PARAM_DIRECTLY_INJECTED_IN_DIV_TAG="comment" query parametervärdet läggs direkt till "div" taggen. -PERSISTENT_XSS_HTML_TAG_URL_PARAM_DIRECTLY_INJECTED_IN_DIV_TAG_REPLACING_IMG_AND_INPUT_TAG="comment" query parametervärdet läggs direkt till "div" taggen efter det ersatt " Denna sårbarhet är relaterad till XSS-attacker via Image taggen. Om .. +XSS_IMAGE_TAG_INJECTION=$XSS_VULNERABILITY
    Denna sårbarhet är relaterad till XSS-attacker via Image-taggen. Om .. #### Attack Vector Description -XSS_DIRECT_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL parametrar läggs till direkt i src attributet för Image taggen.\ +XSS_DIRECT_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL-parametrar läggs till direkt i src-attributet för Image-taggen.\ -XSS_QUOTES_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=Citaten läggs till URL parametrarna och läggs sen direkt till src attributet för Image taggen -XSS_HTML_ESCAPE_ON_DIRECT_INPUT_SRC_ATTRIBUTE_IMG_TAG=HTML escaping görs på URL parametrarna och läggs sen direkt till i src attributet för Image taggen -XSS_HTML_ESCAPE_ON_DIRECT_INPUT_AND_REMOVAL_OF_VALUES_WITH_PARENTHESIS_SRC_ATTRIBUTE_IMG_TAG=HTML escaping tillsammans med borttagande av värden innehållandes parantes görs på URL parametrar och läggs sen direkt till src attributet av Image taggen. -XSS_QUOTES_AND_WITH_HTML_ESCAPE_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=HTML escaping görs på URL parametrar och infogas sen i citattecken in i src attributet för Image taggen. -XSS_HTML_ESCAPE_PLUS_FILTERING_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG_BUT_NULL_BYTE_VULNERABLE=URL parametrar är HTML escaped, validerade mot en whitelist för filnamn och infogade i src attributet för Image taggen, validator för validering av filnamn är dock sårbar för Null Byte injektion. -XSS_QUOTES_AND_WITH_HTML_ESCAPE_PLUS_FILTERING_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL parametrar är HTML escaped, validerade mot en whitelist för filnamn och infogade i citattecken in i src attributet för Image taggen. +XSS_QUOTES_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=Citaten läggs till URL-parametrarna och läggs sen direkt till src-attributet för Image-taggen +XSS_HTML_ESCAPE_ON_DIRECT_INPUT_SRC_ATTRIBUTE_IMG_TAG=HTML escaping görs på URL-parametrarna och läggs sen direkt till src-attributet för Image-taggen +XSS_HTML_ESCAPE_ON_DIRECT_INPUT_AND_REMOVAL_OF_VALUES_WITH_PARENTHESIS_SRC_ATTRIBUTE_IMG_TAG=HTML escaping tillsammans med borttagande av värden innehållandes parantes görs på URL-parametrar och läggs sen direkt till src-attributet av Image-taggen. +XSS_QUOTES_AND_WITH_HTML_ESCAPE_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=HTML escaping görs på URL-parametrar och infogas sen i citattecken in i src-attributet för Image-taggen. +XSS_HTML_ESCAPE_PLUS_FILTERING_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG_BUT_NULL_BYTE_VULNERABLE=URL-parametrar är HTML escaped, validerade mot en whitelist för filnamn och infogade i src-attributet för Image-taggen, validator för validering av filnamn är dock sårbar för Null Byte injektion. +XSS_QUOTES_AND_WITH_HTML_ESCAPE_PLUS_FILTERING_ON_INPUT_SRC_ATTRIBUTE_IMG_TAG=URL-parametrar är HTML escaped, validerade mot en whitelist för filnamn och infogade i citattecken in i src-attributet för Image-taggen. ## Html Tag Injection -XSS_HTML_TAG_INJECTION=HTML tagg baserad XSS attack. -XSS_DIRECT_INPUT_DIV_TAG=HTML taggen är injicerad direkt in i div taggen. +XSS_HTML_TAG_INJECTION=XSS-attack baserad på HTML-taggar. +XSS_DIRECT_INPUT_DIV_TAG=HTML-taggen injiceras direkt in i div-taggen. ### Attack vectors XSS_DIRECT_INPUT_DIV_TAG=URL-parametrar läggs till direkt i div taggen. -XSS_DIRECT_INPUT_DIV_TAG_AFTER_REMOVING_VALUES_CONTAINING_ANCHOR_SCRIPT_AND_IMG_TAG=URL parametrar läggs till direkt i div taggen om de inte har Script/Image och Anchor tagg. -XSS_DIRECT_INPUT_DIV_TAG_AFTER_REMOVING_VALUES_CONTAINING_ANCHOR_SCRIPT_IMG_TAG_AND_ALERT_KEYWORD=URL parametrar läggs till direkt i div taggen om de inte har Script/Image/Anchor tagg och Javascript och Alert nyckelord. +XSS_DIRECT_INPUT_DIV_TAG_AFTER_REMOVING_VALUES_CONTAINING_ANCHOR_SCRIPT_AND_IMG_TAG=URL-parametrar läggs till direkt i div-taggen om de inte har Script/Image och Anchor-tagg. +XSS_DIRECT_INPUT_DIV_TAG_AFTER_REMOVING_VALUES_CONTAINING_ANCHOR_SCRIPT_IMG_TAG_AND_ALERT_KEYWORD=URL-parametrar läggs till direkt i div-taggen om de inte har Script/Image/Anchor tagg och Javascript och Alert nyckelord. # URL Redirection ## Location Header Injection @@ -66,12 +66,12 @@ phishing attacken eftersom m
  • Lägg till domän som prefix - fallstudie
    • \ \ Några myter: Är URL förkortare \u201Csårbara\u201D på grund utav öppna omdirigeringar?
    -OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER="returnTo" query parameterns värde läggs till direkt till "Location" headern. -OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_WWW_OR_DOMAIN_IS_SAME="returnTo" query parameterns värde läggs till direkt till "Location" headern om den inte startar med "http", "www" och "https" eller om domänen är densamma som applikationen. -OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_WWW_//_OR_DOMAIN_IS_SAME="returnTo" query parameterns värde läggs till direkt till "Location" headern om den inte startar med "http", "www", "https" och "//" eller om domänen är densamma som applikationen. -OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_WWW_HTTPS_//_NULL_BYTE_OR_DOMAIN_IS_SAME="returnTo" query parameterns värde läggs till direkt till "Location" headern om den inte startar med "http", "www", "https", "//" och Null Byte eller om domänen är densamma som applikationen. -OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_//_WWW_%_OR_DOMAIN_IS_SAME="returnTo" query parameterns värde läggs till direkt till "Location" headern om den inte startar med "http", "www", "https", "//" och tecken mindre än ascii värdet 33 eller om domänen är densamma som applikationen. -OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADDED_TO_LOCATION_HEADER_BY_ADDING_DOMAIN_AS_PREFIX="returnTo" query parameterns värde läggs till direkt till "Location" headern genom att prefixa det med applikationens domännamn. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER="returnTo" query-parameterns värde läggs till direkt i "Location" headern. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_WWW_OR_DOMAIN_IS_SAME="returnTo" query-parameterns värde läggs till direkt i "Location" headern om den inte startar med "http", "www" och "https" eller om domänen är densamma som applikationens. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_WWW_//_OR_DOMAIN_IS_SAME="returnTo" query-parameterns värde läggs till direkt i "Location" headern om den inte startar med "http", "www", "https" och "//" eller om domänen är densamma som applikationens. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_WWW_HTTPS_//_NULL_BYTE_OR_DOMAIN_IS_SAME="returnTo" query-parameterns värde läggs till direkt i "Location" headern om den inte startar med "http", "www", "https", "//" och Null Byte eller om domänen är densamma som applikationens. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADD_TO_LOCATION_HEADER_IF_NOT_HTTP_HTTPS_//_WWW_%_OR_DOMAIN_IS_SAME="returnTo" query-parameterns värde läggs till direkt i "Location" headern om den inte startar med "http", "www", "https", "//" och tecknet mindre än ascii värdet 33 eller om domänen är densamma som applikationens. +OPEN_REDIRECT_QUERY_PARAM_DIRECTLY_ADDED_TO_LOCATION_HEADER_BY_ADDING_DOMAIN_AS_PREFIX="returnTo" query-parameterns värde läggs till direkt i "Location" headern om den har prefixet med applikationens domännamn. ## Meta Tag based URL Redirection @@ -94,8 +94,8 @@ Till exempel, i f
  • Lägg till domän som prefix - fallstudie
    • \ \ Några myter: Är URL förkortare \u201Csårbara\u201D på grund utav öppna omdirigeringar?
    -URL_REDIRECTION_META_TAG_BASED_INJECTION=Meta tagg baserad URL omdirigering. -URL_REDIRECTION_URL_PARAMETER_INJECTION_INTO_META_TAG=URL parametern läggs direkt till Meta taggen. +URL_REDIRECTION_META_TAG_BASED_INJECTION=URL-omdirigering baserad på metatagg. +URL_REDIRECTION_URL_PARAMETER_INJECTION_INTO_META_TAG=URL-parametern läggs till direkt i metataggen. @@ -115,7 +115,7 @@ UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_FILE_EXTENSION=Alla filtill UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_NOT_HTM_FILE_EXTENSION=Alla filtillägg är tillåtna utom .html och .htm tillägg. UNRESTRICTED_FILE_UPLOAD_IF_NOT_HTML_NOT_HTM_FILE_EXTENSION_CASE_INSENSITIVE=Alla filtillägg är tillåtna utom skiftlägesokänsliga .html och .htm tillägg. UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_CONTAINS_.PNG_OR_.JPEG_CASE_INSENSITIVE=Endast filnamn är tillåtet om det innehåller skiftlägesokänsligt .jpeg eller .png. -UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_ENDS_WITH_.PNG_OR_.JPEG_CASE_INSENSITIVE_AND_FILE_NAMES_CONSIDERED_BEFORE_NULL_BYTE=Endast filnamn är tillåtet om det slutar med skiftlägesokänsligt .jpeg eller .png och det betraktas endast före Nyll Bytes. +UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_ENDS_WITH_.PNG_OR_.JPEG_CASE_INSENSITIVE_AND_FILE_NAMES_CONSIDERED_BEFORE_NULL_BYTE=Endast filnamn är tillåtet om det slutar med skiftlägesokänsligt .jpeg eller .png och som endast beaktas före Nyll Byte. UNRESTRICTED_FILE_UPLOAD_IF_FILE_NAME_NOT_ENDS_WITH_.PNG_OR_.JPEG_CASE_INSENSITIVE=Endast filnamn är tillåtet om det slutar med skiftlägesokänsligt .jpeg eller .png. @@ -135,9 +135,9 @@ Viktiga L
  • Owasp Prevention cheat sheet\ #### Attack Vector Description -XXE_NO_VALIDATION=Det finns ingen validering av XML som skickas i request bodyn. -XXE_DISABLE_GENERAL_ENTITY=Parser är inaktiverad från att bearbeta allmänna externa enheter. -XXE_DISABLE_GENERAL_AND_PARAMETER_ENTITY=Parser är inaktiverad från att bearbeta allmänna enheter och parameterenheter. +XXE_NO_VALIDATION=Det finns ingen validering av XML som skickas i request-bodyn. +XXE_DISABLE_GENERAL_ENTITY=Parsern är inaktiverad från att behandla allmänna externa enheter. +XXE_DISABLE_GENERAL_AND_PARAMETER_ENTITY=Parsern är inaktiverad från att behandla allmänna enheter och parameterenheter. # Path Traversal Attack PATH_TRAVERSAL_VULNERABILITY=En katalogövergång (eller sökvägsövergång) består i att utnyttja otillräcklig säkerhetsvalidering/sanering av input filnamn som användaren bistått,\ @@ -150,17 +150,17 @@ Viktiga L #### AttackVector description -PATH_TRAVERSAL_URL_PARAM_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till sövägen för att läsa filen. -PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller "..". -PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" vilket är URL-kodning för "/". +PATH_TRAVERSAL_URL_PARAM_DIRECTLY_INJECTED="fileName" query-parameterns värde läggs direkt till i sökvägen för att läsa filen. +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde läggs direkt till om det inte innehåller "..". +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" vilket är URL-kodning för "/". PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" eller "%2F" vilket är URL-kodning för "/". -PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller "..", tar hand om URL-kodning också. -PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt till sökvägen för att läsa filen. -PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_PARENT_DIRECTORY_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller "../". -PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller "..". -PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" vilket är URL-kodning för "/". +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller "..", tar även hand om URL-kodning. +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt i sökvägen för att läsa filen. +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_PARENT_DIRECTORY_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller "../". +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller "..". +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" vilket är URL-kodning för "/". PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" eller "%2F" vilket är URL-kodning för "/". -PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller "..", tar hand om URL-kodning också. +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller "..", tar även hand om URL-kodning. # Command Injection Attack @@ -174,11 +174,11 @@ Viktiga l #### Attack vectors -COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED="ipaddress" query parameterns värde exekveras direkt. -COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_NOT_PRESENT="ipaddress" query parameterns värde exekveras direkt om ";", "&" eller blanksteg inte finns i den. -COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_NOT_PRESENT="ipaddress" query parameterns värde exekveras direkt om ";", "&", "%26", "%3B" eller blanksteg inte finns i den. -COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_CASE_INSENSITIVE_NOT_PRESENT="ipaddress" query parameterns värde exekveras direkt om ";", "&", "%26", "%3B", "%3b" eller blanksteg inte finns i den. -COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_%7C_CASE_INSENSITIVE_NOT_PRESENT="ipaddress" query parameterns värde exekveras direkt om ";", "&", "%26", "%3B", "%3b", "%7C", "%7c" eller blanksteg inte finns i den. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED="ipaddress" query-parameterns värde exekveras direkt. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_NOT_PRESENT="ipaddress" query-parameterns värde exekveras direkt om ";", "&" eller blanksteg inte finns med. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_NOT_PRESENT="ipaddress" query-parameterns värde exekveras direkt om ";", "&", "%26", "%3B" eller blanksteg inte finns med. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_CASE_INSENSITIVE_NOT_PRESENT="ipaddress" query-parameterns värde exekveras direkt om ";", "&", "%26", "%3B", "%3b" eller blanksteg inte finns med. +COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26_%3B_%7C_CASE_INSENSITIVE_NOT_PRESENT="ipaddress" query-parameterns värde exekveras direkt om ";", "&", "%26", "%3B", "%3b", "%7C", "%7c" eller blanksteg inte finns med. # Local File Injection @@ -192,7 +192,7 @@ COMMAND_INJECTION_URL_PARAM_DIRECTLY_EXECUTED_IF_SEMICOLON_SPACE_LOGICAL_AND_%26 #LFI_URL_PARAM_BASED_INJECTION_WITH_VALIDATION_ON_FILE=Url Parameter \"fileName\" is validated and passed to include file. # Remote File Injection -URL_BASED_RFI_INJECTION=Lokal URL baserad filinjektionsattack +URL_BASED_RFI_INJECTION=Lokal URL-baserad filinjektionsattack # JWT Injection JWT_INJECTION_VULNERABILITY=JSON Web Token (JWT) är en öppen standard (RFC 7519) som definierar ett kompakt och fristående sätt för att\ @@ -212,13 +212,13 @@ av applikationen och resultera i fullst #### AttackVector description -JWT_URL_EXPOSING_SECURE_INFORMATION=Förfrågan innehåller en JWT-token som är synlig i URLen. Detta kan bryta mot PCI och de flesta organisatoriska efterlevnadspolicyer. -COOKIE_CONTAINING_JWT_TOKEN_SECURITY_ATTRIBUTES_MISSING=Cookiebaserad JWT-token men utan Secure/HttpOnly flaggor och även utan cookie prefix. +JWT_URL_EXPOSING_SECURE_INFORMATION=Förfrågan innehåller en JWT-token som är synlig i URL:en. Detta kan bryta mot PCI och de flesta organisatoriska efterlevnadspolicyer. +COOKIE_CONTAINING_JWT_TOKEN_SECURITY_ATTRIBUTES_MISSING=Cookiebaserad JWT-token men utan Secure/HttpOnly flaggor och även utan cookie-prefix. COOKIE_WITH_HTTPONLY_WITHOUT_SECURE_FLAG_BASED_JWT_VULNERABILITY=Cookiebaserad JWT-token men med HttpOnly flagga mem itam Secure flagga och även utan cookie-prefix. -COOKIE_BASED_LOW_KEY_STRENGTH_JWT_VULNERABILITY=Cookiebaserad JWT-token signerad med svag nyckelsårbarhet. -COOKIE_BASED_NULL_BYTE_JWT_VULNERABILITY=Cookiebaserad Null Byte sårbar JWT-tokenvalidator. -COOKIE_BASED_NONE_ALGORITHM_JWT_VULNERABILITY=Cookiebaserad None algoritm sårbar JWT-tokenvalidator. -COOKIE_BASED_KEY_CONFUSION_JWT_VULNERABILITY=Cookiebaserad JWT-token med sårbarhet för nyckelförvirring. +COOKIE_BASED_LOW_KEY_STRENGTH_JWT_VULNERABILITY=Cookiebaserad JWT-token, sårbar på grund av svag nyckelsignatur. +COOKIE_BASED_NULL_BYTE_JWT_VULNERABILITY=Cookiebaserad JWT-tokenvalidator, sårbar på grund av Null Byte. +COOKIE_BASED_NONE_ALGORITHM_JWT_VULNERABILITY=Cookiebaserad JWT-tokenvalidator, sårbar på grund av None-algoritmen. +COOKIE_BASED_KEY_CONFUSION_JWT_VULNERABILITY=Cookiebaserad JWT-token, sårbar på grund av nyckelförvirring. COOKIE_BASED_FOR_JWK_HEADER_BASED_JWT_VULNERABILITY=Cookiebaserad JWT-tokenvalidator som är sårbar för att lita på JWK-fältet utan att kontrollera om den tillhandahållna offentliga nyckeln finns i truststore eller inte. COOKIE_BASED_EMPTY_TOKEN_JWT_VULNERABILITY=Cookiebaserad JWT-token, sårbar för attack med tom token. From 814f12c751716d37b9b0e0492b8745716b705bf2 Mon Sep 17 00:00:00 2001 From: Anton Sixtenson Date: Sat, 5 Nov 2022 21:37:57 +0100 Subject: [PATCH 3/5] Swedish translation --- src/main/resources/i18n/messages_sv.properties | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/src/main/resources/i18n/messages_sv.properties b/src/main/resources/i18n/messages_sv.properties index eb76ad69..cfb9bf86 100755 --- a/src/main/resources/i18n/messages_sv.properties +++ b/src/main/resources/i18n/messages_sv.properties @@ -208,7 +208,7 @@ av applikationen och resultera i fullst href="https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_Cheat_Sheet_for_Java.html" target="_blank"> \ OWASP cheatsheet för sårbarheter i JWT implementering \
  • För \ - sårbarheter på serversidan i JWT implementationer \ + sårbarheter på serversidan i JWT implementeringar \ #### AttackVector description From 4783aac559dfedb03c9c55030f6f656114e4e8d6 Mon Sep 17 00:00:00 2001 From: Anton Sixtenson Date: Sat, 5 Nov 2022 21:39:23 +0100 Subject: [PATCH 4/5] Swedish translation --- src/main/resources/i18n/messages_sv.properties | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/src/main/resources/i18n/messages_sv.properties b/src/main/resources/i18n/messages_sv.properties index cfb9bf86..75ffa3e9 100755 --- a/src/main/resources/i18n/messages_sv.properties +++ b/src/main/resources/i18n/messages_sv.properties @@ -278,4 +278,4 @@ SSRF_VULNERABILITY_URL_WITHOUT_CHECK=Ingen validering p SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL=file:// protokollet är inte tillåtet för den angivna URL:en. SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL_AND_169.254.169.254=file:// protokollet samt åtkomst till den interna metadatatjänsten IP 169.254.169.254 är inte tillåtet. SSRF_VULNERABILITY_URL_IF_NOT_FILE_PROTOCOL_AND_INTERNAL_METADATA_URL=file:// protokollet samt åtkomst till den interna metadatatjänsten är inte tillåtet. -SSRF_VULNERABILITY_URL_ONLY_IF_IN_THE_WHITELIST=Bara vitlistade URL:er är tillåtna. \ No newline at end of file +SSRF_VULNERABILITY_URL_ONLY_IF_IN_THE_WHITELIST=Bara vitlistade URL:er är tillåtna. From 25f0d772fa7296d4c789925a740d55bacf92cb50 Mon Sep 17 00:00:00 2001 From: Anton Sixtenson Date: Sat, 5 Nov 2022 21:41:48 +0100 Subject: [PATCH 5/5] Swedish translation --- src/main/resources/i18n/messages_sv.properties | 12 ++++++------ 1 file changed, 6 insertions(+), 6 deletions(-) diff --git a/src/main/resources/i18n/messages_sv.properties b/src/main/resources/i18n/messages_sv.properties index 75ffa3e9..6c1b0e4c 100755 --- a/src/main/resources/i18n/messages_sv.properties +++ b/src/main/resources/i18n/messages_sv.properties @@ -152,15 +152,15 @@ Viktiga L #### AttackVector description PATH_TRAVERSAL_URL_PARAM_DIRECTLY_INJECTED="fileName" query-parameterns värde läggs direkt till i sökvägen för att läsa filen. PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde läggs direkt till om det inte innehåller "..". -PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" vilket är URL-kodning för "/". -PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" eller "%2F" vilket är URL-kodning för "/". -PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller "..", tar även hand om URL-kodning. +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" vilket är URL-kodningen för "/". +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller ".." eller "%2f" eller "%2F" vilket är URL-kodningen för "/". +PATH_TRAVERSAL_URL_PARAM_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde läggs direkt till om det inte innehåller "..", tar även hand om URL-kodningen. PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt i sökvägen för att läsa filen. PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_PARENT_DIRECTORY_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller "../". PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller "..". -PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" vilket är URL-kodning för "/". -PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" eller "%2F" vilket är URL-kodning för "/". -PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query parameterns värde före Null Byte läggs till direkt om det inte innehåller "..", tar även hand om URL-kodning. +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" vilket är URL-kodningen för "/". +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_OR_%2F_CASE_INSENSITIVE_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller ".." eller "%2f" eller "%2F" vilket är URL-kodningen för "/". +PATH_TRAVERSAL_URL_PARAM_BEFORE_NULL_BYTE_IF_DOT_DOT_PATH_WITH_OR_WITHOUT_URL_ENCODING_NOT_PRESENT_DIRECTLY_INJECTED="fileName" query-parameterns värde före Null Byte läggs till direkt om det inte innehåller "..", tar även hand om URL-kodningen. # Command Injection Attack