45 elementos encontrados
Debilidades

Unsafe Reflection

Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada. Incluso la capacidad para controlar los argumentos pasados a un determinado método o constructor puede aportar a un usuario malintencionado y astuto el margen necesario para ejecutar un ataque con éxito.

Ejemplo: un motivo común por el cual los programadores utilizan la tecnología de reflexión es el de implementar su propio distribuidor de comandos. El ejemplo siguiente muestra un distribuidor de comandos que no utiliza la reflexión:


    var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
    var ctl:String = String(params["ctl"]);
    var ao:Worker;
    if (ctl == "Add) {
      ao = new AddCommand();
    } else if (ctl == "Modify") {
      ao = new ModifyCommand();
    } else {
      throw new UnknownActionError();
    }
    ao.doAction(params);


Un programador podría refactorizar este código para utilizar la reflexión tal y como se muestra a continuación:


    var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
    var ctl:String = String(params["ctl"]);
    var ao:Worker;
    var cmdClass:Class = getDefinitionByName(ctl + "Command") as Class;
    ao = new cmdClass();
    ao.doAction(params);


La refactorización al principio parece que ofrece una serie de ventajas. Hay menos líneas de código, los bloques if/else se han eliminado por completo y ahora es posible agregar nuevos tipos de comando sin modificar el distribuidor de comandos.

Sin embargo, la refactorización permite que un usuario malintencionado cree instancias de cualquier objeto que implemente la interfaz Worker. Si el distribuidor de comandos sigue siendo responsable del control de acceso, entonces cada vez que los programadores creen una nueva clase que implemente la interfaz Worker, no deben olvidar modificar el código de control de acceso del distribuidor. Si no pueden modificar el código de control de acceso, algunas clases Worker no tendrán ningún control de acceso.

Una manera de solucionar este problema de control de acceso es hacer que el objeto Worker sea responsable de realizar la comprobación de control de acceso. A continuación se muestra un ejemplo del código refactorizado:


    var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
    var ctl:String = String(params["ctl"]);
    var ao:Worker;
    var cmdClass:Class = getDefinitionByName(ctl + "Command") as Class;
    ao = new cmdClass();
    ao.checkAccessControl(params);
    ao.doAction(params);


Aunque esto es una mejora, fomenta un método descentralizado de controlar el acceso, lo que aumenta las posibilidades de que los programadores cometan errores de control de acceso.
desc.dataflow.actionscript.unsafe_reflection
Abstract
Permitir que entradas no validadas determinen el método de devolución de llamada de un objeto Continuation podría permitir a los atacantes crear rutas de flujo de control inesperadas a través de la aplicación, lo que podría eludir los controles de seguridad.
Explanation
Si un atacante puede proporcionar valores que posteriormente la aplicación use para determinar qué clase instanciar o qué método invocar, el atacante podría crear rutas de flujo de control inesperadas a través de la aplicación. Esto podría permitir al atacante eludir las verificaciones de autenticación o control de acceso o quizá hacer que la aplicación se comporte de manera inesperada.

Ejemplo: El siguiente método de acción inicia una solicitud asincrónica a un servicio web externo y establece la propiedad continuationMethod, que determina el nombre del método al que se llamará al recibir una respuesta.

public Object startRequest() {
    Continuation con = new Continuation(40);

    Map<String,String> params = ApexPages.currentPage().getParameters();

    if (params.containsKey('contMethod')) {
        con.continuationMethod = params.get('contMethod');
    } else {
        con.continuationMethod = 'processResponse';
    }

    HttpRequest req = new HttpRequest();
    req.setMethod('GET');
    req.setEndpoint(LONG_RUNNING_SERVICE_URL);
    this.requestLabel = con.addHttpRequest(req);
    return con;
}

Esta implementación permite que la propiedad continuationMethod se establezca mediante parámetros de solicitud de tiempo de ejecución, lo que permite a los atacantes llamar a cualquier función que coincida con el nombre.
desc.dataflow.apex.unsafe_reflection
Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada. Incluso la capacidad para controlar los argumentos pasados a un determinado método o constructor puede aportar a un usuario malintencionado y astuto el margen necesario para ejecutar un ataque con éxito.

Ejemplo: los programadores utilizan a menudo la reflexión para implementar distribuidores de comandos. En el siguiente ejemplo se muestra un distribuidor de comandos que no utiliza la reflexión:


...
Dim ctl As String
Dim ao As New Worker()
ctl = Request.Form("ctl")
If (String.Compare(ctl,"Add") = 0) Then
        ao.DoAddCommand(Request)
Else If (String.Compare(ctl,"Modify") = 0) Then
        ao.DoModifyCommand(Request)
Else
        App.EventLog("No Action Found", 4)
End If
...


Un programador podría refactorizar este código para utilizar la reflexión tal y como se muestra a continuación:


...
Dim ctl As String
Dim ao As New Worker()
ctl = Request.Form("ctl")
CallByName(ao, ctl, vbMethod, Request)
...


La refactorización al principio parece que ofrece una serie de ventajas. Hay menos líneas de código, los bloques if/else se han eliminado por completo y ahora es posible agregar nuevos tipos de comando sin modificar el distribuidor de comandos.

Sin embargo, la refactorización permite a un usuario malintencionado llamar a cualquier método implementado por el objeto Worker. Si el distribuidor de comandos se encarga del control de acceso, cada vez que los programadores creen un número método en la clase Worker, deben acordarse de modificar la lógica de control de acceso del distribuidor. Si esta lógica de control de acceso se queda obsoleta, algunos métodos Worker no tendrán ningún control de acceso.

Una manera de solucionar este problema de control de acceso es hacer que el objeto Worker sea responsable de realizar la comprobación de control de acceso. A continuación se muestra un ejemplo del código refactorizado:


...
Dim ctl As String
Dim ao As New Worker()
ctl = Request.Form("ctl")
If (ao.checkAccessControl(ctl,Request) = True) Then
        CallByName(ao, "Do" & ctl & "Command", vbMethod, Request)
End If
...


Aunque esto es una mejora, fomenta un método descentralizado de controlar el acceso, lo que aumenta las posibilidades de que los programadores cometan errores de control de acceso.
desc.dataflow.dotnet.unsafe_reflection
Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada.

Esta situación se convierte en una situación crítica si el atacante puede cargar archivos en una ubicación que aparezca en la ruta de la aplicación o la biblioteca. En cualquiera de estas situaciones, el atacante puede usar la reflexión para introducir un nuevo comportamiento presuntamente malicioso en la aplicación.
Ejemplo: un motivo habitual por el que los programadores utilizan la API de reflexión consiste en implementar su propio distribuidor de comandos. En el siguiente ejemplo se muestra un distribuidor de comandos JNI que utiliza la reflexión para ejecutar un método de Java identificado por un valor leído desde una solicitud CGI. Esta implementación permite a un usuario malintencionado llamar a cualquier función definida en clazz.


char* ctl = getenv("ctl");
...
jmethodID mid = GetMethodID(clazz, ctl, sig);
status = CallIntMethod(env, clazz, mid, JAVA_ARGS);
...
desc.dataflow.cpp.unsafe_reflection
Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada. Incluso la capacidad para controlar los argumentos pasados a un determinado método o constructor puede aportar a un usuario malintencionado y astuto el margen necesario para ejecutar un ataque con éxito.

Esta situación pasa a ser crítica si el atacante puede cargar archivos en una ubicación que aparezca en la ruta de clase de la aplicación o añadir entradas a la ruta de clase de la aplicación. En cualquiera de estas situaciones, el atacante puede usar la reflexión para introducir un nuevo comportamiento presuntamente malicioso en la aplicación.
Ejemplo: un motivo habitual por el que los programadores utilizan la API de reflexión consiste en implementar su propio distribuidor de comandos. El ejemplo siguiente muestra un distribuidor de comandos que no utiliza la reflexión:


String ctl = request.getParameter("ctl");
Worker ao = null;
if (ctl.equals("Add")) {
  ao = new AddCommand();
} else if (ctl.equals("Modify")) {
  ao = new ModifyCommand();
} else {
  throw new UnknownActionError();
}
ao.doAction(request);


Un programador podría refactorizar este código para utilizar la reflexión tal y como se muestra a continuación:


    String ctl = request.getParameter("ctl");
    Class cmdClass = Class.forName(ctl + "Command");
    Worker ao = (Worker) cmdClass.newInstance();
    ao.doAction(request);


La refactorización al principio parece que ofrece una serie de ventajas. Hay menos líneas de código, los bloques if/else se han eliminado por completo y ahora es posible agregar nuevos tipos de comando sin modificar el distribuidor de comandos.

Sin embargo, la refactorización permite que un usuario malintencionado cree instancias de cualquier objeto que implemente la interfaz Worker. Si el distribuidor de comandos sigue siendo responsable del control de acceso, entonces cada vez que los programadores creen una nueva clase que implemente la interfaz Worker, no deben olvidar modificar el código de control de acceso del distribuidor. Si no pueden modificar el código de control de acceso, algunas clases Worker no tendrán ningún control de acceso.

Una manera de solucionar este problema de control de acceso es hacer que el objeto Worker sea responsable de realizar la comprobación de control de acceso. A continuación se muestra un ejemplo del código refactorizado:


String ctl = request.getParameter("ctl");
Class cmdClass = Class.forName(ctl + "Command");
Worker ao = (Worker) cmdClass.newInstance();
ao.checkAccessControl(request);
ao.doAction(request);


Aunque esto es una mejora, fomenta un método descentralizado de controlar el acceso, lo que aumenta las posibilidades de que los programadores cometan errores de control de acceso.

Este código también pone de manifiesto otro problema de seguridad relacionado con el uso de la reflexión para crear un distribuidor de comandos. Un atacante puede llamar al constructor predeterminado en relación con cualquier tipo de objeto. De hecho, el usuario malintencionado no está limitado solo a los objetos que implementan la interfaz de Worker; se puede llamar al constructor predeterminado de cualquier objeto del sistema. Si el objeto no implementa la interfaz de Worker, se generará una ClassCastException antes de la asignación a ao. Sin embargo, si el constructor realiza operaciones que trabajan a favor del usuario malintencionado, el daño ya estará hecho. Aunque este escenario es relativamente benigno en aplicaciones sencillas, en las aplicaciones de mayor tamaño en las que la complejidad crece exponencialmente, es razonable creer que un usuario malintencionado podría encontrar un constructor para aprovecharlo como parte de un ataque.

Las comprobaciones de acceso también pueden verse comprometidas más adelante en la cadena de ejecución de código si se llama a determinadas API de Java que realizan tareas mediante la comprobación del cargador de clases del autor de la llamada inmediato, en objetos poco confiables devueltos por las llamadas de reflexión. Estas API de Java omiten la comprobación de SecurityManager que garantiza que todos los autores de llamadas de la cadena de ejecución dispongan de los permisos de seguridad necesarios. Se debe tener cuidado para garantizar que se llame a estas API en los objetos que no son de confianza devueltos por la reflexión, ya que pueden omitir las comprobaciones de acceso de seguridad y dejar al sistema vulnerable frente a ataques remotos. Para obtener más información sobre estas API de Java, consulte la directriz 9 de The Secure Coding Guidelines for the Java Programming Language (Directrices de creación segura de código para el lenguaje de programación Java).
References
[1] Secure Coding Guidelines for the Java Programming Language, Version 4.0
desc.dataflow.java.unsafe_reflection
Abstract
Los atacantes pueden controlar un argumento al método performSelector, lo que podría permitirles crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo potencialmente las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada.

Ejemplo 1: Es un motivo común por el cual los programadores utilizan la API del selector para implementar su propio distribuidor de comandos. En el ejemplo siguiente se muestra un distribuidor de comandos de Objective-C que utiliza la reflexión para ejecutar un método arbitrario identificado por un valor de lectura a partir de una solicitud de esquema de URL personalizado. Esta implementación permite que un atacante llame a cualquier función que coincida con la firma del método definida en la clase UIApplicationDelegate.


...
- (BOOL)application:(UIApplication *)application openURL:(NSURL *)url
  sourceApplication:(NSString *)sourceApplication annotation:(id)annotation  {

    NSString *query = [url query];
    NSString *pathExt = [url pathExtension];
    [self performSelector:NSSelectorFromString(pathExt) withObject:query];
...
desc.dataflow.objc.unsafe_reflection
Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada. Incluso la capacidad para controlar los argumentos pasados a un determinado método o constructor puede aportar a un usuario malintencionado y astuto el margen necesario para ejecutar un ataque con éxito.

Esta situación pasa a ser crítica si el atacante puede cargar archivos en una ubicación que aparezca en la ruta de clase de la aplicación o añadir entradas a la ruta de clase de la aplicación. En cualquiera de estas situaciones, el atacante puede usar la reflexión para introducir un nuevo comportamiento presuntamente malicioso en la aplicación.
Ejemplo: un motivo habitual por el que los programadores utilizan la API de reflexión consiste en implementar su propio distribuidor de comandos. El ejemplo siguiente muestra un distribuidor de comandos que no utiliza la reflexión:


$ctl = $_GET["ctl"];
$ao = null;
if (ctl->equals("Add")) {
  $ao = new AddCommand();
} else if ($ctl.equals("Modify")) {
  $ao = new ModifyCommand();
} else {
  throw new UnknownActionError();
}
$ao->doAction(request);


Un programador podría refactorizar este código para utilizar la reflexión tal y como se muestra a continuación:


    $ctl = $_GET["ctl"];
    $args = $_GET["args"];
    $cmdClass = new ReflectionClass(ctl . "Command");
    $ao = $cmdClass->newInstance($args);
    $ao->doAction(request);


La refactorización al principio parece que ofrece una serie de ventajas. Hay menos líneas de código, los bloques if/else se han eliminado por completo y ahora es posible agregar nuevos tipos de comando sin modificar el distribuidor de comandos.

Sin embargo, la refactorización permite que un usuario malintencionado cree instancias de cualquier objeto que implemente la interfaz Worker. Si el distribuidor de comandos sigue siendo responsable del control de acceso, entonces cada vez que los programadores creen una nueva clase que implemente la interfaz Worker, no deben olvidar modificar el código de control de acceso del distribuidor. Si no pueden modificar el código de control de acceso, algunas clases Worker no tendrán ningún control de acceso.

Una manera de solucionar este problema de control de acceso es hacer que el objeto Worker sea responsable de realizar la comprobación de control de acceso. A continuación se muestra un ejemplo del código refactorizado:


	$ctl = $_GET["ctl"];
    $args = $_GET["args"];
    $cmdClass = new ReflectionClass(ctl . "Command");
    $ao = $cmdClass->newInstance($args);
	$ao->checkAccessControl(request);
	ao->doAction(request);


Aunque esto es una mejora, fomenta un método descentralizado de controlar el acceso, lo que aumenta las posibilidades de que los programadores cometan errores de control de acceso.

Este código también pone de manifiesto otro problema de seguridad relacionado con el uso de la reflexión para crear un distribuidor de comandos. Un atacante puede llamar al constructor predeterminado en relación con cualquier tipo de objeto. De hecho, el usuario malintencionado no está limitado solo a los objetos que implementan la interfaz de Worker; se puede llamar al constructor predeterminado de cualquier objeto del sistema. Si el objeto no implementa la interfaz de Worker, se generará una ClassCastException antes de la asignación a $ao. Sin embargo, si el constructor realiza operaciones que trabajan a favor del usuario malintencionado, el daño ya estará hecho. Aunque este escenario es relativamente benigno en aplicaciones sencillas, en las aplicaciones de mayor tamaño en las que la complejidad crece exponencialmente, es razonable creer que un usuario malintencionado podría encontrar un constructor para aprovecharlo como parte de un ataque.
desc.dataflow.php.unsafe_reflection
Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada. Incluso la capacidad para controlar los argumentos pasados a un determinado método o constructor puede aportar a un usuario malintencionado y astuto el margen necesario para ejecutar un ataque con éxito.

Esta situación pasa a ser crítica si el atacante puede cargar archivos en una ubicación que aparezca en la ruta de clase de la aplicación o añadir entradas a la ruta de clase de la aplicación. En cualquiera de estas situaciones, el atacante puede usar la reflexión para introducir un nuevo comportamiento presuntamente malicioso en la aplicación.
desc.dataflow.python.unsafe_reflection
Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien hacer que la aplicación se comporte de forma inesperada. Incluso la capacidad para controlar los argumentos pasados a un determinado método o constructor puede aportar a un usuario malintencionado y astuto el margen necesario para ejecutar un ataque con éxito.

Esta situación pasa a ser crítica si el atacante puede cargar archivos en una ubicación que aparezca en la ruta de carga de la aplicación o añadir entradas a la ruta de carga de la aplicación. En cualquiera de estas situaciones, el atacante puede usar la reflexión para introducir un nuevo comportamiento presuntamente malicioso en la aplicación.
Ejemplo: un motivo común por el cual los programadores utilizan la reflexión es el de implementar su propio distribuidor de comandos. El ejemplo siguiente muestra un distribuidor de comandos que no utiliza la reflexión:


ctl = req['ctl']
if ctl=='add'
  addCommand(req)
elsif ctl=='modify'
  modifyCommand(req)
else
  raise UnknownCommandError.new
end


Un programador podría refactorizar este código para utilizar la reflexión tal y como se muestra a continuación:


ctl = req['ctl']
ctl << "Command"
send(ctl)


La refactorización al principio parece que ofrece una serie de ventajas. Hay menos líneas de código, los bloques if/else se han eliminado por completo y ahora es posible agregar nuevos tipos de comando sin modificar el distribuidor de comandos.

Sin embargo, la refactorización permite a un usuario malintencionado ejecutar cualquier método que termine con la palabra "Command". Si el distribuidor de comandos sigue siendo responsable del control de acceso, siempre que los programadores creen un nuevo método que termine con "Command", deberán acordarse de modificar el código de control de acceso del distribuidor. Incluso entonces, el procedimiento habitual cuando hay varios métodos con nombres similares puede ser crearlos dinámicamente mediante define_method() o llamarlos mediante el reemplazo de missing_method(). Auditar y realizar un seguimiento de estos métodos y de cómo se utiliza el código de control de acceso con ellos resulta muy difícil, y si consideramos que también depende de qué código de biblioteca se cargue, realizar esta tarea correctamente puede convertirse en una misión imposible.
desc.dataflow.ruby.unsafe_reflection
Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada. Incluso la capacidad para controlar los argumentos pasados a un determinado método o constructor puede aportar a un usuario malintencionado y astuto el margen necesario para ejecutar un ataque con éxito.

Esta situación pasa a ser crítica si el atacante puede cargar archivos en una ubicación que aparezca en la ruta de clase de la aplicación o añadir entradas a la ruta de clase de la aplicación. En cualquiera de estas situaciones, el atacante puede usar la reflexión para introducir un nuevo comportamiento presuntamente malicioso en la aplicación.
Ejemplo: Un motivo habitual por el que los programadores utilizan la API de reflexión consiste en implementar su propio distribuidor de comandos. El ejemplo siguiente muestra un distribuidor de comandos que utiliza la reflexión:


def exec(ctl: String) = Action { request =>
    val cmdClass = Platform.getClassForName(ctl + "Command")
    Worker ao = (Worker) cmdClass.newInstance()
    ao.doAction(request)
    ...
}


La refactorización al principio parece que ofrece una serie de ventajas. Hay menos líneas de código, los bloques if/else se han eliminado por completo y ahora es posible agregar nuevos tipos de comando sin modificar el distribuidor de comandos.

Sin embargo, la refactorización permite que un usuario malintencionado cree instancias de cualquier objeto que implemente la interfaz Worker. Si el distribuidor de comandos sigue siendo responsable del control de acceso, entonces cada vez que los programadores creen una nueva clase que implemente la interfaz Worker, no deben olvidar modificar el código de control de acceso del distribuidor. Si no pueden modificar el código de control de acceso, algunas clases Worker no tendrán ningún control de acceso.

Una manera de solucionar este problema de control de acceso es hacer que el objeto Worker sea responsable de realizar la comprobación de control de acceso. A continuación se muestra un ejemplo del código refactorizado:


def exec(ctl: String) = Action { request =>
    val cmdClass = Platform.getClassForName(ctl + "Command")
    Worker ao = (Worker) cmdClass.newInstance()
    ao.checkAccessControl(request);
    ao.doAction(request)
    ...
}


Aunque esto es una mejora, fomenta un método descentralizado de controlar el acceso, lo que aumenta las posibilidades de que los programadores cometan errores de control de acceso.

Este código también pone de manifiesto otro problema de seguridad relacionado con el uso de la reflexión para crear un distribuidor de comandos. Un atacante puede llamar al constructor predeterminado en relación con cualquier tipo de objeto. De hecho, el usuario malintencionado no está limitado solo a los objetos que implementan la interfaz de Worker; se puede llamar al constructor predeterminado de cualquier objeto del sistema. Si el objeto no implementa la interfaz de Worker, se generará una ClassCastException antes de la asignación a ao. Sin embargo, si el constructor realiza operaciones que trabajan a favor del usuario malintencionado, el daño ya estará hecho. Aunque este escenario es relativamente benigno en aplicaciones sencillas, en las aplicaciones de mayor tamaño en las que la complejidad crece exponencialmente, es razonable creer que un usuario malintencionado podría encontrar un constructor para aprovecharlo como parte de un ataque.

Las comprobaciones de acceso también pueden verse comprometidas más adelante en la cadena de ejecución de código si se llama a determinadas API de Java que realizan tareas mediante la comprobación del cargador de clases del autor de la llamada inmediato, en objetos poco confiables devueltos por las llamadas de reflexión. Estas API de Java omiten la comprobación de SecurityManager que garantiza que todos los autores de llamadas de la cadena de ejecución dispongan de los permisos de seguridad necesarios. Se debe tener cuidado para garantizar que se llame a estas API en los objetos que no son de confianza devueltos por la reflexión, ya que pueden omitir las comprobaciones de acceso de seguridad y dejar al sistema vulnerable frente a ataques remotos. Para obtener más información sobre estas API de Java, consulte la directriz 9 de The Secure Coding Guidelines for the Java Programming Language (Directrices de creación segura de código para el lenguaje de programación Java).
References
[1] Secure Coding Guidelines for the Java Programming Language, Version 4.0
desc.dataflow.scala.unsafe_reflection
Abstract
Los atacantes pueden controlar un argumento al método performSelector, lo que podría permitirles crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo potencialmente las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada.

Ejemplo 1: Es un motivo común por el cual los programadores utilizan la API del selector para implementar su propio distribuidor de comandos. En el ejemplo siguiente se muestra un distribuidor de comandos de Swift que utiliza la reflexión para ejecutar un método arbitrario identificado por un valor de lectura a partir de una solicitud de esquema de URL personalizado. Esta implementación permite que un atacante llame a cualquier función que coincida con la firma del método definida en la clase UIApplicationDelegate.


func application(app: UIApplication, openURL url: NSURL, options: [String : AnyObject]) -> Bool {
    ...
    let query = url.query
    let pathExt = url.pathExtension
    let selector = NSSelectorFromString(pathExt!)
    performSelector(selector, withObject:query)
    ...
}
desc.dataflow.swift.unsafe_reflection
Abstract
Un atacante puede ser capaz de crear rutas de flujo de control inesperadas a través de la aplicación, omitiendo con toda probabilidad las comprobaciones de seguridad.
Explanation
Si un usuario malintencionado puede suministrar los valores que la aplicación más tarde utiliza para determinar con qué clase se puede crear una instancia o qué método se puede invocar, existe la posibilidad de que el usuario malintencionado cree rutas de flujo de control a través de la aplicación que no han diseñado los desarrolladores de aplicaciones. Este tipo de ataque puede permitir que el usuario malintencionado eluda la autenticación o las comprobaciones del control de acceso, o bien que de cualquier otra manera, provoque que la aplicación se comporte de forma inesperada. Incluso la capacidad para controlar los argumentos pasados a un determinado método o constructor puede aportar a un usuario malintencionado y astuto el margen necesario para ejecutar un ataque con éxito.

Ejemplo: Un motivo común por el cual los programadores utilizan CallByName es el de implementar su propio distribuidor de comandos. En el ejemplo siguiente se muestra un distribuidor de comandos que no utiliza la función CallByName:


...
Dim ctl As String
Dim ao As new Worker
ctl = Request.Form("ctl")
If String.Compare(ctl,"Add") = 0 Then
	ao.DoAddCommand Request
Else If String.Compare(ctl,"Modify") = 0 Then
	ao.DoModifyCommand Request
Else
	App.EventLog "No Action Found", 4
End If
...



Un programador podría refactorizar este código para utilizar la reflexión tal y como se muestra a continuación:


...
Dim ctl As String
Dim ao As Worker
ctl = Request.Form("ctl")
CallByName ao, ctl, vbMethod, Request
...




La refactorización al principio parece que ofrece una serie de ventajas. Hay menos líneas de código, los bloques if/else se han eliminado por completo y ahora es posible agregar nuevos tipos de comando sin modificar el distribuidor de comandos.

Sin embargo, la refactorización permite a un usuario malintencionado llamar a cualquier método implementado por el objeto Worker. Si el distribuidor de comandos sigue siendo responsable del control de acceso, siempre que los programadores creen un nuevo método dentro de la clase Worker, deberán acordarse de modificar el código de control de acceso del distribuidor. Si no pueden modificar el código de control de acceso, algunos métodos de Worker no tendrán ningún control de acceso.

Una manera de solucionar este problema de control de acceso es hacer que el objeto Worker sea responsable de realizar la comprobación de control de acceso. A continuación se muestra un ejemplo del código refactorizado:


...
Dim ctl As String
Dim ao As Worker
ctl = Request.Form("ctl")
If ao.checkAccessControl(ctl,Request) = True Then
	CallByName ao, "Do" & ctl & "Command", vbMethod, Request
End If
...



Aunque esto es una mejora, fomenta un método descentralizado de controlar el acceso, lo que aumenta las posibilidades de que los programadores cometan errores de control de acceso.
desc.dataflow.vb.unsafe_reflection

XML External Entity Injection

Abstract
El uso de analizadores de XML configurados para no evitar ni limitar la resolución de entidades externas puede exponer al analizador a un ataque de entidades externas de XML.
Explanation
Los ataques de entidades externas de XML se benefician de una función de XML para crear documentos de forma dinámica en el momento de procesamiento. Una entidad XML permite incluir datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como por ejemplo un archivo del equipo local o de un sistema remoto. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, los cuales se pueden utilizar para llevar a cabo una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.

En el siguiente documento XML se muestra un ejemplo de un ataque XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///c:/winnt/win.ini" >]><foo>&xxe;</foo>


Este ejemplo podría revelar el contenido del archivo de sistema C:\winnt\win.ini, en caso de que el analizador de XML intente sustituir la entidad con el contenido del archivo.
References
[1] XML Denial of Service Attacks and Defenses MSDN Magazine
[2] XML External Entity (XXE) Processing OWASP
[3] Testing for XML Injection OWASP
[4] XML External Entities The Web Application Security Consortium
desc.controlflow.dotnet.xml_external_entity_injection
Abstract
El método identificado permite referencias a entidades externas. Esta llamada podría permitir a un usuario malintencionado inyectar una entidad externa de XML en el documento XML para mostrar el contenido de los archivos o recursos de red interna.
Explanation
La inyección de la entidad externa de XML (XXE) se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un elemento <ENTITY> de la definición de tipo de documento (DTD, Document Type Definition) en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En los casos más benignos, es posible que un atacante pueda ser capaz de insertar referencias a entidades anidadas y hacer que un analizador XML consuma cada vez mayores cantidades de recursos de la CPU. En los casos más nefastos de inyección de entidad externa de XML, un atacante puede ser capaz de agregar elementos XML que expongan el contenido de los recursos del sistema de archivos locales o que revelen la existencia de recursos de red interna.

Ejemplo 1:aquí se muestra parte del código Objective-C que es vulnerable a ataques de XXE:


- (void) parseSomeXML: (NSString *) rawXml {

    BOOL success;
    NSData *rawXmlConvToData = [rawXml dataUsingEncoding:NSUTF8StringEncoding];
    NSXMLParser *myParser = [[NSXMLParser alloc] initWithData:rawXmlConvToData];
    [myParser setShouldResolveExternalEntities:YES];
    [myParser setDelegate:self];
}


Supongamos que un usuario malintencionado es capaz de controlar rawXml de tal forma que el código XML sea similar al siguiente:


 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>


Cuando el servidor evalúe el XML, el elemento <foo> incluirá el contenido del archivo boot.ini.
desc.semantic.cpp.xml_external_entity_injection
Abstract
El uso de analizadores de XML configurados para no evitar ni limitar la resolución de entidades externas puede exponer al analizador a un ataque de entidades externas de XML.
Explanation
Los ataques de entidades externas de XML se benefician de una función de XML para crear documentos de forma dinámica en el momento de procesamiento. Una entidad XML permite la inclusión de datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como por ejemplo un archivo del equipo local o de un sistema remoto. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, los cuales se pueden utilizar para llevar a cabo una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.

En el siguiente documento XML se muestra un ejemplo de un ataque XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>


Este ejemplo puede producir el bloqueo del servidor (en un sistema UNIX) en caso de que el analizador de XML intente sustituir la entidad que tenga el contenido del archivo /dev/random.
References
[1] XML External Entity (XXE) Processing OWASP
[2] Testing for XML Injection OWASP
[3] XML External Entities The Web Application Security Consortium
[4] IDS17-J. Prevent XML External Entity Attacks CERT
[5] DOS-1: Beware of activities that may use disproportionate resources Oracle
[6] INJECT-5: Restrict XML inclusion Oracle
desc.semantic.java.xxe_injection
Abstract
El método identificado permite referencias a entidades externas. Esta llamada podría permitir a un usuario malintencionado inyectar una entidad externa de XML en el documento XML para mostrar el contenido de los archivos o recursos de red interna.
Explanation
La inyección de la entidad externa de XML (XXE) se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un elemento <ENTITY> de la DTD (Document Type Definition) en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En los casos más benignos, es posible que un atacante pueda ser capaz de insertar referencias a entidades anidadas y hacer que un analizador XML consuma cada vez mayores cantidades de recursos de la CPU. En los casos más nefastos de inyección de entidad externa de XML, un atacante puede ser capaz de agregar elementos XML que expongan el contenido de los recursos del sistema de archivos locales o que revelen la existencia de recursos de red interna.

Ejemplo 1:aquí se muestra parte del código que es vulnerable a ataques de XXE:


- (void) parseSomeXML: (NSString *) rawXml {

    BOOL success;
    NSData *rawXmlConvToData = [rawXml dataUsingEncoding:NSUTF8StringEncoding];
    NSXMLParser *myParser = [[NSXMLParser alloc] initWithData:rawXmlConvToData];
    [myParser setShouldResolveExternalEntities:YES];
    [myParser setDelegate:self];
}


Supongamos que un usuario malintencionado es capaz de controlar rawXml de tal forma que el código XML sea similar al siguiente:


 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>


Cuando el servidor evalúe el XML, el elemento <foo> incluirá el contenido del archivo boot.ini.
desc.semantic.objc.xml_external_entity_injection
Abstract
El procesamiento de un documento XML sin validar puede permitir a un usuario malintencionado cambiar la estructura y contenido de los datos XML, rastrear los puertos del servidor host o rastrear los hosts de la red interna, incluir archivos arbitrarios del sistema de archivos o provocar la denegación de servicio de la aplicación.
Explanation
La inyección de la entidad externa de XML (XXE) se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En los casos más benignos, es posible que un atacante pueda insertar referencias a entidades anidadas y hacer que un analizador XML consuma cada vez mayores cantidades de recursos de la CPU. En los casos más nefastos de inyección de entidad externa de XML, un atacante puede ser capaz de agregar elementos XML que exponen el contenido de los recursos del sistema de archivos locales, revelen la existencia de recursos de red interna o expongan el mismo contenido back-end.

Ejemplo 1:aquí se muestra parte del código que es vulnerable a ataques de XXE:

Supongamos que un usuario malintencionado es capaz de controlar el XML de entrada al siguiente código:


...
<?php
$goodXML = $_GET["key"];
$doc = simplexml_load_string($goodXml);
echo $doc->testing;
?>
...


Ahora imaginemos que el usuario malintencionado pasa el siguiente código XML al código del Example 2:



<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>



Cuando se procesa el código XML, el contenido del elemento <foo> se rellena con el contenido del archivo boot.ini del sistema. El atacante podría utilizar los elementos XML que se devuelven al cliente para extraer datos u obtener información sobre la existencia de recursos de red.
desc.dataflow.php.xml_external_entity_injection
Abstract
El uso de procesadores de XML que no evitan ni limitan la resolución de entidades externas puede exponer la aplicación a ataques de entidades externas de XML.
Explanation
Los ataques de entidades externas de XML se benefician de una característica de XML para crear documentos de forma dinámica en tiempo de ejecución. Una entidad XML permite la inclusión de datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como, por ejemplo, un archivo del equipo local o de un sistema remoto. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, que los atacantes pueden utilizar para llevar a cabo una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.


Ejemplo 1: en el siguiente documento XML se muestra un ejemplo de ataque XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>


Este ejemplo puede producir el bloqueo del servidor (en un sistema UNIX) en caso de que el analizador de XML intente sustituir la entidad que tenga el contenido del archivo /dev/random.
References
[1] XML vulnerabilities
[2] Announcing defusedxml, Fixes for XML Security Issues
[3] defusedxml
[4] defusedexpat
[5] XML External Entity (XXE) Processing OWASP
[6] Testing for XML Injection (OWASP-DV-008) OWASP
[7] XML External Entities The Web Application Security Consortium
desc.dataflow.python.xxe_injection
Abstract
El uso de analizadores de XML configurados para no evitar ni limitar la resolución de entidades externas puede exponer al analizador a un ataque de entidades externas de XML
Explanation
Los ataques de entidades externas de XML se benefician de una función de XML para crear documentos de forma dinámica en el momento de procesamiento. Una entidad XML permite la inclusión de datos de forma dinámica desde un recurso dado. Las entidades externas permiten a un documento XML incluir datos desde un URI externo. A menos que se configure de otra forma, las entidades externas fuerzan al analizador de XML a acceder al recurso que especifica el URI, como por ejemplo un archivo del equipo local o de un sistema remoto. Este comportamiento expone la aplicación a ataques de entidades externas (XXE) de XML, los cuales se pueden utilizar para llevar a cabo una denegación de servicio del sistema local, obtener acceso no autorizado a archivos del equipo local, explorar equipos remotos y denegar el servicio de sistemas remotos.

En el siguiente documento XML se muestra un ejemplo de un ataque XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>


El documento XML de ejemplo leerá el contenido de /etc/passwd y lo incluirá en el documento.

Ejemplo 1: El siguiente código usa un analizador de XML no seguro para procesar la entrada que no es de confianza de una solicitud HTTP. 


def readFile() = Action { request =>
    val xml = request.cookies.get("doc")
    val doc = XMLLoader.loadString(xml)
    ...
}
References
[1] XML External Entity (XXE) Processing OWASP
[2] Testing for XML Injection OWASP
[3] XML External Entities The Web Application Security Consortium
[4] IDS17-J. Prevent XML External Entity Attacks CERT
[5] DOS-1: Beware of activities that may use disproportionate resources Oracle
[6] INJECT-5: Restrict XML inclusion Oracle
desc.dataflow.scala.xml_external_entity_injection
Abstract
El método identificado permite referencias a entidades externas. Esta llamada podría permitir a un usuario malintencionado inyectar una entidad externa de XML en el documento XML para mostrar el contenido de los archivos o recursos de red interna.
Explanation
La inyección de la entidad externa de XML (XXE) se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un elemento <ENTITY> de la definición de tipo de documento (DTD, Document Type Definition) en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En los casos más benignos, es posible que un atacante pueda ser capaz de insertar referencias a entidades anidadas y hacer que un analizador XML consuma cada vez mayores cantidades de recursos de la CPU. En los casos más nefastos de inyección de entidad externa de XML, un atacante puede ser capaz de agregar elementos XML que expongan el contenido de los recursos del sistema de archivos locales o que revelen la existencia de recursos de red interna.

Ejemplo 1:aquí se muestra parte del código que es vulnerable a ataques de XXE:


func parseXML(xml: String) {
    parser = NSXMLParser(data: rawXml.dataUsingEncoding(NSUTF8StringEncoding)!)
    parser.delegate = self
    parser.shouldResolveExternalEntities = true
    parser.parse()
}


Supongamos que un usuario malintencionado es capaz de controlar el contenido de rawXml de tal forma que el código XML sea similar al siguiente:


 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>


Cuando el servidor evalúe el XML, el elemento <foo> incluirá el contenido del archivo boot.ini.
References
[1] XML External Entity (XXE) Processing OWASP
[2] Testing for XML Injection OWASP
[3] XML External Entities The Web Application Security Consortium
desc.structural.swift.xml_external_entity_injection

XML Injection

Abstract
La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML se utilizan a menudo en servicios web y se pueden utilizar también para enviar información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede incluso dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
   <price>100.00</price>
   <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.
desc.dataflow.dotnet.xml_injection
Abstract
El método identificado escribe la entrada de XML sin validar. Esta llamada podría permitir a un atacante insertar elementos o atributos de forma arbitraria en el documento XML.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.
desc.dataflow.cpp.xml_injection
Abstract
La escritura de datos no válidos en un documento XML puede habilitar a un atacante a cambiar la estructura y el contenido del documento XML.
Explanation
La inyección XML se produce cuando sucede lo siguiente:

1. Los datos se introducen en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante puede insertar etiquetas extrañas y hacer que un analizador XML genere una excepción. En casos más nefastos de inyección XML, un atacante puede agregar elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En ocasiones, la inyección XML puede dar lugar a scripts de sitios o una evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, supongamos que este XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El XML nuevo tendría este aspecto:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de $ 100 a $ 1.
desc.dataflow.golang.xml_injection
Abstract
La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.
References
[1] IDS16-J. Prevent XML Injection CERT
[2] INJECT-3: XML and HTML generation requires care Oracle
desc.dataflow.java.xml_injection
Abstract
La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Esto puede permitir que el atacante compre un par de zapatos de 100 $ a 1 $.
desc.dataflow.javascript.xml_injection
Abstract
El método identificado escribe la entrada de XML sin validar. Esta llamada podría permitir a un atacante insertar elementos o atributos de forma arbitraria en el documento XML.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.
desc.dataflow.objc.xml_injection
Abstract
La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Al utilizar los analizadores XML, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.


Un tipo más grave de este ataque denominado inyección de entidad externa de XML (XXE) puede producirse cuando el usuario malintencionado controla la parte frontal o todo el documento XML que se analiza.

Ejemplo 2:aquí se muestra parte del código que es vulnerable a ataques de XXE:

Supongamos que un usuario malintencionado es capaz de controlar el XML de entrada al siguiente código:


...
<?php
$goodXML = $_GET["key"];
$doc = simplexml_load_string($goodXml);
echo $doc->testing;
?>
...


Ahora imaginemos que el usuario malintencionado pasa el siguiente código XML al código del Example 2:



<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>



Cuando se procesa el código XML, el contenido del elemento <foo> se rellena con el contenido del archivo boot.ini del sistema. El atacante podría utilizar los elementos XML que se devuelven al cliente para extraer datos u obtener información sobre la existencia de recursos de red.
desc.dataflow.php.xml_injection
Abstract
La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
    <price>100.00</price>
    <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.
desc.dataflow.python.xml_injection
Abstract
La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML. El análisis de XML sin validar puede causar un ataque de denegación de servicio, exponer información confidencial e, incluso, permitir una ejecución de código remota.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML o se analizan como XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
    <price>100.00</price>
    <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.
References
[1] Introduction to Software Security: XML Injection Atacks University of Wisconsin-Madison
[2] Exploitation: XML External Entity (XXE) Injection Depth Security
desc.dataflow.ruby.xml_injection
Abstract
La escritura de datos no válidos en un documento XML puede permitir a un atacante cambiar la estructura y el contenido del documento XML. El análisis de XML sin validar puede causar un ataque de denegación de servicio, exponer información confidencial e, incluso, permitir una ejecución de código remota.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.

2. Los datos se escriben en un documento XML o se analizan como XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a scripts de sitios o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.
References
[1] IDS16-J. Prevent XML Injection CERT
[2] INJECT-3: XML and HTML generation requires care Oracle
desc.dataflow.scala.xml_injection
Abstract
El método identificado escribe la entrada de XML sin validar. Esta llamada podría permitir a un atacante insertar elementos o atributos de forma arbitraria en el documento XML.
Explanation
La inserción XML se produce cuando:

1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se escriben en un documento XML.

Normalmente, las aplicaciones utilizan XML para almacenar datos y enviar mensajes. Cuando se utiliza para almacenar datos, los documentos XML se tratan a menudo como bases de datos y es posible que contengan información confidencial. Los mensajes XML normalmente se utilizan en los servicios web y también pueden usarse para transmitir información confidencial. Incluso se pueden utilizar mensajes XML para enviar credenciales de autenticación.

La semántica de los documentos y mensajes XML se puede modificar si un atacante tiene la capacidad de escribir XML sin formato. En el caso menos malicioso, un atacante podría insertar etiquetas extrañas y hacer que un analizador XML iniciase una excepción. En casos más nefastos de inyección de código XML, un atacante puede ser capaz de añadir elementos XML que cambien las credenciales de autenticación o modifiquen los precios de una base de datos de comercio electrónico en XML. En algunos casos, la inyección de código XML puede dar lugar a Cross-Site Scripting o evaluación de código dinámico.

Ejemplo 1:

Supongamos que un atacante puede controlar shoes en el siguiente documento XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>


Ahora, suponga que este documento XML está incluido en una solicitud de servicio web back-end para realizar un pedido de un par de zapatos. Supongamos que el atacante modifica su solicitud y sustituye shoes por shoes</item><price>1.00</price><item>shoes. El nuevo documento XML sería:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>


Cuando se utilizan analizadores SAX, el valor de la segunda etiqueta <price> anula el valor de la primera etiqueta <price>. Esto permite que el atacante compre un par de zapatos de 100 $ a 1 $.
desc.dataflow.swift.xml_injection