Reino: Encapsulation

La encapsulación consiste en crear límites fuertes. En un explorador web esto puede suponer la seguridad de que tu codificación móvil no se vea comprometido por otro código móvil. En el servidor puede significar la diferenciación entre los datos validados y los que no lo están, entre los datos de un usuario y los de otro, o entre los diferentes usuarios, los datos que pueden ver y los que no.

File Based Cross-Zone Scripting

Abstract

Cargar un archivo que puede ejecutar secuencias de comandos que no son de confianza en el contexto de su aplicación es peligroso.

Explanation

Se producen scripting de zonas basado en archivos cuando se cumplen las siguientes condiciones:

1. Se carga un archivo que permite la ejecución de secuencias de comandos en su aplicación

2. Se asume que la secuencia de comandos cargada tiene el mismo origen que la aplicación en ejecución.

Cuando se cumplen estas dos condiciones, se posibilita una serie de ataques, especialmente si otras partes determinan la confianza basándose en si la información procede de su aplicación.

Ejemplo 1: el siguiente código utiliza WebView de Android para cargar un archivo de forma local:


...
myWebView.loadUrl("file:///android_asset/www/index.html");
...

En el Example 1, el representador de WebView de Android considera que todo aquello cargado con loadUrl() con una dirección URL que empiece por file:// procede del mismo origen.

Un usuario malintencionado dispone de varias formas típicas de aprovechar una vulnerabilidad de scripting de zonas basado en archivos al cargar desde un archivo:
- El archivo local puede ser manipulado por un usuario malintencionado, que puede inyectar scripts en el archivo.
Esto dependerá de los permisos del archivo, de dónde se encuentra el archivo o de las condiciones de carrera donde un archivo se puede cargar y luego cargar (podría haber un margen de tiempo para la modificación).

- El archivo puede llamar a un recurso externo.
Esto puede ocurrir cuando el archivo cargado recupera secuencias de comandos de un recurso externo.

Ejemplo 2: el siguiente código mira un origen externo para determinar el código JavaScript que debe ejecutar.


  <script src="http://www.example.com/js/fancyWidget.js"></script>

En el Example 2, se utiliza un protocolo inseguro, que podría permitir que la secuencia de comandos resultante fuera modificada por una persona malintencionada. De forma alternativa, se podrían realizar otros ataques para volver a enrutar el equipo al sitio del usuario malintencionado.

- el archivo cargado puede contener vulnerabilidades de Cross-Site Scripting.
Si se puede inyectar código en el archivo que se está cargando, el código inyectado podría ejecutarse en el contexto de su aplicación. Esto no tiene que ser necesariamente la habilidad de inyectar JavaScript; simplemente la capacidad de inyectar HTML podría habilitar las desfiguraciones o los ataques por denegación de servicio.

References

[1] Erika Chin and David Wagner Bifocals: Analyzing WebView Vulnerabilities in Android Applications

[2] Standards Mapping - Common Weakness Enumeration CWE ID 79, CWE ID 80

[3] Standards Mapping - Common Weakness Enumeration Top 25 2019 [2] CWE ID 079

[4] Standards Mapping - Common Weakness Enumeration Top 25 2020 [1] CWE ID 079

[5] Standards Mapping - Common Weakness Enumeration Top 25 2021 [2] CWE ID 079

[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [2] CWE ID 079

[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [2] CWE ID 079

[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [1] CWE ID 079

[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[10] Standards Mapping - FIPS200 SI

[11] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[12] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[13] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[14] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.3 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3)

[15] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[16] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4, MASVS-PLATFORM-2

[17] Standards Mapping - OWASP Top 10 2004 A4 Cross Site Scripting

[18] Standards Mapping - OWASP Top 10 2007 A1 Cross Site Scripting (XSS)

[19] Standards Mapping - OWASP Top 10 2010 A2 Cross-Site Scripting (XSS)

[20] Standards Mapping - OWASP Top 10 2013 A3 Cross-Site Scripting (XSS)

[21] Standards Mapping - OWASP Top 10 2017 A7 Cross-Site Scripting (XSS)

[22] Standards Mapping - OWASP Top 10 2021 A03 Injection

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.4

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.1

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.7

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.7

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.7

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.7

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.7

[30] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[31] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[32] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[33] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[34] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[35] Standards Mapping - SANS Top 25 2009 Insecure Interaction - CWE ID 079

[36] Standards Mapping - SANS Top 25 2010 Insecure Interaction - CWE ID 079

[37] Standards Mapping - SANS Top 25 2011 Insecure Interaction - CWE ID 079

[38] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3580 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3580 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3580 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3580 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3580 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3580 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3580 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I

[46] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I

[47] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I

[48] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I

[49] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I

[50] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I

[51] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I

[52] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I

[53] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I

[54] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I

[55] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I

[56] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I

[57] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I

[58] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002560 CAT I

[59] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002560 CAT I

[60] Standards Mapping - Web Application Security Consortium Version 2.00 Cross-Site Scripting (WASC-08)

[61] Standards Mapping - Web Application Security Consortium 24 + 2 Cross-Site Scripting

desc.semantic.java.file_based_cross_zone_scripting

Abstract

Cargar un archivo local que puede ejecutar scripts que no son de confianza en el contexto con privilegios de su aplicación es peligroso.

Explanation

Se produce scripting de zonas basado en archivos cuando se cumplen las siguientes condiciones:

1. Se carga un archivo que permite la ejecución de scripts en su aplicación.

2. Se asume que el script cargado tiene el mismo origen que la aplicación en ejecución (file://).

Cuando se cumplen estas dos condiciones, se posibilita una serie de ataques, especialmente si otras partes determinan la confianza basándose en si la información procede de su aplicación.

Ejemplo 1: El código siguiente utiliza el método UIWebView.loadRequest(_:) para cargar un archivo local:


...
NSURL *url = [[NSBundle mainBundle] URLForResource: filename withExtension:extension]; 
[webView loadRequest:[[NSURLRequest alloc] initWithURL:url]];
...

En el Example 1, el motor WebView considera que todo aquello cargado con UIWebView.loadRequest(_:) con una dirección URL que empiece por file:// procede del mismo archivo local con privilegios.

Un usuario malintencionado dispone de varias formas típicas de aprovechar una vulnerabilidad de scripting de zonas basado en archivos al cargar desde un archivo:

- El archivo local puede estar controlado por el atacante. Por ejemplo, el atacante puede enviar el archivo a su víctima, que lo almacena en la aplicación vulnerable (por ejemplo: una aplicación de almacenamiento en la nube).
- El archivo local puede ser manipulado por un usuario malintencionado, que puede inyectar scripts en el archivo. Esto dependerá de los permisos del archivo, de dónde se encuentra el archivo o de las condiciones de carrera donde un archivo se puede guardar y luego cargar (podría haber un margen de tiempo para la modificación).
- El archivo puede llamar a un recurso externo. Esto puede ocurrir cuando el archivo cargado recupera scripts de un recurso externo.
- El archivo cargado puede contener vulnerabilidades de Cross-Site Scripting. Si el archivo que se está cargando incluye código inyectado, dicho código podría ejecutarse en el contexto de su aplicación. No es necesario que el código inyectado sea de tipo JavaScript; el HTML inyectado también podría habilitar las desfiguraciones o los ataques por denegación de servicio.

Si el archivo controlado por el atacante se carga localmente con una dirección URL file://, la política del mismo origen permitirá que los scripts de este archivo accedan a cualquier otro archivo del mismo origen, lo que puede permitir que un atacante acceda a cualquier archivo local que contenga información confidencial.

References

[1] Same-origin policy for file: URIs Mozilla

[2] Old Habits Die Hard: Cross-Zone Scripting in Dropbox & Google Drive Mobile Apps IBM

[3] loadHTMLString(_:baseURL:) API documentation Apple

[4] loadRequest(_:) API documentation Apple

[5] Standards Mapping - Common Weakness Enumeration CWE ID 79, CWE ID 80

[6] Standards Mapping - Common Weakness Enumeration Top 25 2019 [2] CWE ID 079

[7] Standards Mapping - Common Weakness Enumeration Top 25 2020 [1] CWE ID 079

[8] Standards Mapping - Common Weakness Enumeration Top 25 2021 [2] CWE ID 079

[9] Standards Mapping - Common Weakness Enumeration Top 25 2022 [2] CWE ID 079

[10] Standards Mapping - Common Weakness Enumeration Top 25 2023 [2] CWE ID 079

[11] Standards Mapping - Common Weakness Enumeration Top 25 2024 [1] CWE ID 079

[12] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[13] Standards Mapping - FIPS200 SI

[14] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[15] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[16] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[17] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.3 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3)

[18] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[19] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4, MASVS-PLATFORM-2

[20] Standards Mapping - OWASP Top 10 2004 A4 Cross Site Scripting

[21] Standards Mapping - OWASP Top 10 2007 A1 Cross Site Scripting (XSS)

[22] Standards Mapping - OWASP Top 10 2010 A2 Cross-Site Scripting (XSS)

[23] Standards Mapping - OWASP Top 10 2013 A3 Cross-Site Scripting (XSS)

[24] Standards Mapping - OWASP Top 10 2017 A7 Cross-Site Scripting (XSS)

[25] Standards Mapping - OWASP Top 10 2021 A03 Injection

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.4

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.1

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.7

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.7

[30] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.7

[31] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.7

[32] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.7

[33] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[34] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[35] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[36] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[37] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[38] Standards Mapping - SANS Top 25 2009 Insecure Interaction - CWE ID 079

[39] Standards Mapping - SANS Top 25 2010 Insecure Interaction - CWE ID 079

[40] Standards Mapping - SANS Top 25 2011 Insecure Interaction - CWE ID 079

[41] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3580 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3580 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3580 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3580 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3580 CAT I

[46] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3580 CAT I

[47] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3580 CAT I

[48] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I

[49] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I

[50] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I

[51] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I

[52] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I

[53] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I

[54] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I

[55] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I

[56] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I

[57] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I

[58] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I

[59] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I

[60] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I

[61] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002560 CAT I

[62] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002560 CAT I

[63] Standards Mapping - Web Application Security Consortium Version 2.00 Cross-Site Scripting (WASC-08)

[64] Standards Mapping - Web Application Security Consortium 24 + 2 Cross-Site Scripting

desc.dataflow.objc.file_based_cross_zone_scripting

Abstract

Cargar un archivo local que puede ejecutar scripts que no son de confianza en el contexto con privilegios de su aplicación es peligroso.

Explanation


...
let url = Bundle.main.url(forResource: filename, withExtension: extension)
self.webView!.load(URLRequest(url:url!))
...