界: API Abuse
API 是调用方和被调用方之间的约定。最常见的 API 滥用是由于调用方未能遵守此约定的终止导致的。例如,如果某个程序在调用 chroot() 后未能调用 chdir(),则违反了用于指定如何安全地更改活动根目录的约定。库滥用的另一个典型示例是期望被调用方向调用方返回可信的 DNS 信息。在这种情况下,调用方通过对被调用方行为做出某种假设(返回值可用于身份验证目的)滥用其 API。另一方也可能违反调用方-被调用方约定。例如,如果编码器子类化 SecureRandom 并返回一个非随机值,则将违反此约定。
Dangerous Function
Abstract
永不应该使用那些无法安全使用的函数。
Explanation
某些函数不论如何使用都有危险性。这一类函数通常是在没有考虑安全问题的情况下就执行了。
desc.semantic.cpp.dangerous_function.master
Abstract
永不应该使用那些无法安全使用的函数。
Explanation
某些函数不论如何使用都有危险性。这一类函数通常是在没有考虑安全问题的情况下就执行了。
desc.semantic.php.dangerous_function.master
Abstract
永不应该使用那些无法安全使用的函数。
Explanation
DBMS_UTILITY.EXEC_DDL_STATEMENT 将仅执行归类为数据定义语言的一部分的指令。嵌入式 SQL 不支持的其他指令将在不提示的情况下忽略。当使用该程序时,这种行为将导致很难检测到错误。References
[1] How to write SQL injection proof PL/SQL
desc.semantic.sql.dangerous_function_exec_ddl
Abstract
不应该使用那些不能安全地使用或者很难执行相应操作的函数。
Explanation
某些函数以危险或意外的方式行事。这一类函数通常是在没有考虑安全问题的情况下就执行了。
desc.structural.ruby.dangerous_function