Reino: Input Validation and Representation
Los problemas de validación y representación de entradas están causados por metacaracteres, codificaciones alternativas y representaciones numéricas. Los problemas de seguridad surgen de entradas en las que se confía. Estos problemas incluyen: «desbordamientos de búfer», ataques de «scripts de sitios», "SQL injection" y muchas otras acciones.
Bean Manipulation
Abstract
Un atacante puede establecer propiedades bean arbitrarias que pueden poner en peligro la integridad del sistema.
Explanation
Los nombres y los valores de las propiedades bean tienen que validarse antes de rellenar cualquier bean. Las funciones de relleno bean permiten a los desarrolladores establecer una propiedad bean o una propiedad anidada. Un atacante puede aprovechar esta funcionalidad para acceder a propiedades bean especiales, como
Ejemplo: el código siguiente establece una propiedad bean controlada por el usuario sin validación adecuada del nombre o valor de la propiedad:
class.classLoader
, que le permitirá sobrescribir propiedades del sistema y ejecutar potencialmente código arbitrario.Ejemplo: el código siguiente establece una propiedad bean controlada por el usuario sin validación adecuada del nombre o valor de la propiedad:
String prop = request.getParameter('prop');
String value = request.getParameter('value');
HashMap properties = new HashMap();
properties.put(prop, value);
BeanUtils.populate(user, properties);
desc.dataflow.java.bean_manipulation