EresusSecurity
Doküman menüsü
BU SAYFADA
Kural RehberiRAR

RAR Arşiv Kuralları

RAR arşivlerinde yol kaçışı, şifreli içerik, yüksek açılma oranı ve gömülü yük risklerini tespit eder.

Kısa tanım

RAR kural ailesi; bu yüzeydeki bulguları kural kimliği, öncelik, CWE, OWASP LLM, sorumlu, yayın kararı ve yeniden test komutuyla kapatılabilir aksiyona çevirir.

RAR paketleri güvenlik akışlarında daha az görünür olabilir. Bu da model yüklerinin saklanmasını kolaylaştırır.

Kural yardım URL’i

Desteklenen girdiler

  • .rar

Tipik saldırı senaryoları

  • Şifreli RAR içeriği analizden kaçırılır.
  • Arşiv hedef klasörün dışına dosya çıkarmaya çalışır.
  • Paket içinde zararlı model veya script dosyası gizlenir.

Algılama mantığı

Sentinel RAR kurallarında kanıt alanını dosya yolu, üst veri, opcode, AST düğümü, manifest alanı, bağımlılık veya arşiv girdisi gibi yeniden üretilebilir sinyale bağlar. Bulgu kapatılırken aynı sinyal ortadan kalkmalıdır.

İnceleme ve önceliklendirme

RAR bulgularını tek başına "tarayıcı gürültüsü" gibi okumayın. Önce kanıtı doğrulayın, sonra yayın kararını önceliğe bağlayın, en sonunda aynı Sentinel komutuyla kapanış kanıtı üretin.

Operasyonel kontrol listesi
  • Kaynak: dosya, manifest, istem, arşiv veya bağımlılık nereden geldi?
  • Etki: kod çalıştırma, veri sızıntısı, tedarik zinciri veya kaynak tüketimi mi?
  • Kontrol: izin listesi, hash doğrulaması, yalıtım, ağ çıkış politikası veya gizli bilgi döndürme gerekiyor mu?
  • Kanıt: düzeltmeden sonra aynı kural kategorisi temiz dönüyor mu?

Düzeltme

Düzeltme, yalnızca bulguyu susturmak değil risk sınırını değiştirmek anlamına gelmelidir: çalıştırılabilir biçimi kaldırın, kaynak veya hash değerini sabitleyin, araç iznini daraltın, gizli bilgiyi döndürün ya da çalışma zamanı yalıtımı ekleyin.

CI politikası

sentinel-policy.yml
category: RAR
fail_on:
  - CRITICAL
  - HIGH
ticket_on:
  - MEDIUM
retest: "sentinel artifact ./models/ --rule RAR"

Kural dizini

Kural kimliğiÖncelikBaşlıkCWEDüzeltme ipucu
RAR-PATH-TRAVERSALHIGHRAR Yol KaçışıCWE-22Hedef dizin dışına çıkan RAR girdilerini engelleyin.
RAR-BOMBHIGHRAR Açılma BombasıCWE-409RAR açma boyutunu kısıtlayın.
RAR-ENCRYPTED-PAYLOADMEDIUMŞifreli RAR YüküCWE-693İçeriği görülemeyen şifreli arşivleri yayına almayın.

RAR-PATH-TRAVERSALRAR Yol Kaçışı

HIGH
Kural kimliğiRAR-PATH-TRAVERSAL
KategoriRAR
ÖncelikHIGH
CWECWE-22
OWASP LLMLLM03 — Supply Chain
Yanlış pozitif riskiLOW
SorumluAI/ML platform veya model yayın sahibi
Yayın kararıYayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.

Açıklama

Hedef dizinin dışına çıkabilen RAR arşiv girdilerini tespit eder.

Neden önemli?

RAR paketleri güvenlik akışlarında daha az görünür olabilir. Bu da model yüklerinin saklanmasını kolaylaştırır.

Ne zaman tetiklenir?

Sentinel bu kuralı RAR kategorisinde şu kanıtı gördüğünde tetikler: RAR girdisi ../, mutlak yol veya hedef dışına çözümlenen özel yol içerir. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.

Kanıt biçimi

RAR girdisi ../, mutlak yol veya hedef dışına çözümlenen özel yol içerir.

Beklenen kanıt

Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.

Yanlış pozitif notu

Yanlış pozitif olasılığı düşüktür. Kanıt doğrudan dosya, opcode, gizli bilgi örüntüsü, yol veya manifest alanına bağlanıyorsa bulguyu gerçek kabul edip kapanış kanıtı isteyin.

İnceleme ve önceliklendirme

Operasyonel kontrol listesi
  • Sorumlu: AI/ML platform veya model yayın sahibi.
  • Karar: Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.
  • Kanıt: RAR girdisi ../, mutlak yol veya hedef dışına çözümlenen özel yol içerir.
  • Kapanış: sentinel artifact ./models/ --rule RAR komutu temiz dönmeli.

Nasıl düzeltilir?

Hedef dizinin dışına çıkan RAR girdilerini engelleyin ve açma işlemini yalıtılmış dizinde yapın.

CLI

sentinel artifact ./models/ --rule RAR

Politika örneği

sentinel-policy.yml
rules:
  RAR-PATH-TRAVERSAL:
    owner: "AI/ML platform or model release owner"
    fail_on: ["CRITICAL", "HIGH"]
    retest: "sentinel artifact ./models/ --rule RAR"

Beklenen çıktı

RAR-PATH-TRAVERSAL HIGH
RAR Yol Kaçışı
Hedef dizin dışına çıkan RAR girdilerini engelleyin.

Örnek

Riskli
rar entry: /var/www/app/config.py
Daha güvenli
rar entry: release/model.onnx
# extracted only after sandbox path validation

İlgili kurallar

RAR-BOMBRAR Açılma Bombası

HIGH
Kural kimliğiRAR-BOMB
KategoriRAR
ÖncelikHIGH
CWECWE-409
OWASP LLMLLM10 — Unbounded Consumption
Yanlış pozitif riskiMEDIUM
SorumluAI/ML platform veya model yayın sahibi
Yayın kararıYayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.

Açıklama

Şüpheli açılma oranı, dosya sayısı veya iç içe arşiv yapısı taşıyan RAR dosyalarını işaretler.

Neden önemli?

RAR paketleri güvenlik akışlarında daha az görünür olabilir. Bu da model yüklerinin saklanmasını kolaylaştırır.

Ne zaman tetiklenir?

Sentinel bu kuralı RAR kategorisinde şu kanıtı gördüğünde tetikler: RAR açılma oranı, dosya sayısı veya iç içe yapı sınırı aşar. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.

Kanıt biçimi

RAR açılma oranı, dosya sayısı veya iç içe yapı sınırı aşar.

Beklenen kanıt

Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.

Yanlış pozitif notu

Yanlış pozitif olasılığı orta seviyededir. Önce kaynak, beklenen kullanım ve sahip bilgisini doğrulayın; gerekirse izin listesi ekleyin ama kanıtı rapordan silmeyin.

İnceleme ve önceliklendirme

Operasyonel kontrol listesi
  • Sorumlu: AI/ML platform veya model yayın sahibi.
  • Karar: Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.
  • Kanıt: RAR açılma oranı, dosya sayısı veya iç içe yapı sınırı aşar.
  • Kapanış: sentinel artifact ./models/ --rule RAR komutu temiz dönmeli.

Nasıl düzeltilir?

RAR açma boyutunu, dosya sayısını ve süre sınırlarını kısıtlayın.

CLI

sentinel artifact ./models/ --rule RAR

Politika örneği

sentinel-policy.yml
rules:
  RAR-BOMB:
    owner: "AI/ML platform or model release owner"
    fail_on: ["CRITICAL", "HIGH"]
    retest: "sentinel artifact ./models/ --rule RAR"

Beklenen çıktı

RAR-BOMB HIGH
RAR Açılma Bombası
RAR açma boyutunu kısıtlayın.

Örnek

Riskli
rar entry: /var/www/app/config.py
Daha güvenli
rar entry: release/model.onnx
# extracted only after sandbox path validation

İlgili kurallar

RAR-ENCRYPTED-PAYLOADŞifreli RAR Yükü

MEDIUM
Kural kimliğiRAR-ENCRYPTED-PAYLOAD
KategoriRAR
ÖncelikMEDIUM
CWECWE-693
OWASP LLMLLM03 — Supply Chain
Yanlış pozitif riskiMEDIUM
SorumluAI/ML platform veya model yayın sahibi
Yayın kararıSahip atayın, sprint içinde düzeltin ve yeniden test komutunu iş kaydına ekleyin.

Açıklama

Tarayıcı tarafından incelenemeyen şifreli RAR içeriğini raporlar.

Neden önemli?

RAR paketleri güvenlik akışlarında daha az görünür olabilir. Bu da model yüklerinin saklanmasını kolaylaştırır.

Ne zaman tetiklenir?

Sentinel bu kuralı RAR kategorisinde şu kanıtı gördüğünde tetikler: RAR arşivinde şifreli dosya veya parola gerektiren içerik bulunur. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.

Kanıt biçimi

RAR arşivinde şifreli dosya veya parola gerektiren içerik bulunur.

Beklenen kanıt

Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.

Yanlış pozitif notu

Yanlış pozitif olasılığı orta seviyededir. Önce kaynak, beklenen kullanım ve sahip bilgisini doğrulayın; gerekirse izin listesi ekleyin ama kanıtı rapordan silmeyin.

İnceleme ve önceliklendirme

Operasyonel kontrol listesi
  • Sorumlu: AI/ML platform veya model yayın sahibi.
  • Karar: Sahip atayın, sprint içinde düzeltin ve yeniden test komutunu iş kaydına ekleyin.
  • Kanıt: RAR arşivinde şifreli dosya veya parola gerektiren içerik bulunur.
  • Kapanış: sentinel artifact ./models/ --rule RAR komutu temiz dönmeli.

Nasıl düzeltilir?

İçeriği incelenemeyen şifreli arşivleri üretime taşımayın; kaynak sahibinden açık ve imzalı paket isteyin.

CLI

sentinel artifact ./models/ --rule RAR

Politika örneği

sentinel-policy.yml
rules:
  RAR-ENCRYPTED-PAYLOAD:
    owner: "AI/ML platform or model release owner"
    fail_on: ["CRITICAL", "HIGH"]
    retest: "sentinel artifact ./models/ --rule RAR"

Beklenen çıktı

RAR-ENCRYPTED-PAYLOAD MEDIUM
Şifreli RAR Yükü
İçeriği görülemeyen şifreli arşivleri yayına almayın.

Örnek

Riskli
rar entry: /var/www/app/config.py
Daha güvenli
rar entry: release/model.onnx
# extracted only after sandbox path validation

İlgili kurallar

Kaynaklar

ÖncekiSıkıştırılmış dosyalarSonrakiGizli bilgiler