La anotación FortifyDangerous ha sido aplicada a este campo. Se utiliza para indicar que es peligroso y, por motivos de seguridad, todos los usos deben examinarse.

Determinadas funciones se comportan de forma peligrosa independientemente de cómo se utilicen. Las funciones de esta categoría se implementaron a menudo sin tener en cuenta las cuestiones relativas a la seguridad.

Determinadas funciones se comportan de forma peligrosa independientemente de cómo se utilicen. Las funciones de esta categoría se implementaron a menudo sin tener en cuenta las cuestiones relativas a la seguridad.

Ciertas funciones tienen un comportamiento peligroso, independientemente de cómo se utilicen. Las funciones de esta categoría a menudo se implementaron sin tener en cuenta la seguridad.

Ejemplo 1: dada la URL http://www.example.com/index.php?param=..., el siguiente fragmento de código de php dentro de index.php imprimirá el valor del parámetro de URL param (transferido en lugar de "...") en la pantalla si coincide con la expresión regular de POSIX '^[[:alnum:]]*$' que representa a "cero o más caracteres alfanuméricos":

  <?php
    $pattern = '^[[:alnum:]]*$';
    $string = $_GET['param'];
    if (ereg($pattern, $string)) {
      echo($string);
    }
  ?>

Mientras que el Example 1 funciona como se esperaba con la entrada alfanumérica, debido a que se utiliza la función ereg() no segura para validar la entrada contaminada, es posible llevar a cabo un ataque de scripts de sitios (XSS) mediante la inyección de un byte null. Al pasar un valor para param que contiene una cadena alfanumérica válida seguida de un byte null y, a continuación, una etiqueta <script>(por ejemplo, "Hello123%00<script>alert("XSS")</script>"), ereg($pattern, $string) seguirá siendo true, dado que la función ereg() ignora todo lo que sigue a un carácter de byte null al leer la cadena de entrada (de izquierda a derecha). En este ejemplo, esto significa que la etiqueta <script> inyectada seguida del byte null se mostrará al usuario y se evaluará.

Determinadas funciones se comportan de forma peligrosa independientemente de cómo se utilicen. La función xp_cmdshell inicia un shell de comandos de Windows para ejecutar la cadena de comandos proporcionada. El comando se ejecuta en el sistema predeterminado o en un contexto de proxy proporcionado. Sin embargo, no hay ninguna forma de limitar un usuario al conjunto especificado previamente de operaciones con privilegios y cualquier concesión de privilegio anima al usuario a ejecutar la cadena de comandos que desee.

La anotación FortifyDangerous ha sido aplicada a este método. Se utiliza para indicar que es peligroso y, por motivos de seguridad, todos los usos deben examinarse.

La anotación FortifyDangerous ha sido aplicada a este tipo. Se utiliza para indicar que es peligroso y, por motivos de seguridad, todos los usos deben examinarse.

La llamada al sistema chroot() permite a un proceso cambiar su percepción del directorio raíz del sistema de procesamiento de archivos. Después de llamar correctamente a chroot(), un proceso no puede acceder a ningún archivo que se encuentre fuera del árbol de directorios definido por el nuevo directorio raíz. Un entorno de este tipo recibe el nombre de aprisionamiento chroot y se utiliza normalmente para impedir la posibilidad de que los procesos puedan subvertirse y usarse para obtener acceso a archivos no autorizados. Por ejemplo, muchos servidores FTP se ejecutan en aprisionamientos chroot para impedir que un usuario malintencionado que descubra una nueva vulnerabilidad en el servidor descargue el archivo de contraseñas u otros archivos confidenciales del sistema.

El uso inadecuado de chroot() puede permitir a los usuarios malintencionados escaparse del aprisionamiento chroot. La función chroot() no cambia el directorio de trabajo actual del proceso, por lo que las rutas relativas aún pueden hacer referencia a los recursos del sistema de archivos que se encuentran fuera del aprisionamiento chroot una vez que se haya llamado a chroot().

Ejemplo 1: tenga en cuenta el siguiente código de origen de un (hipotético) servidor FTP:

chroot("/var/ftproot");
...
fgets(filename, sizeof(filename), network);
localfile = fopen(filename, "r");
while ((len = fread(buf, 1, sizeof(buf), localfile)) != EOF) {
  fwrite(buf, 1, sizeof(buf), network);
}
fclose(localfile);

Este código se encarga de leer un nombre de archivo de la red, abriendo el archivo correspondiente en el equipo local y enviando el contenido a través de la red. Este código se puede utilizar para implementar el comando GET de FTP. El servidor FTP llama a chroot() en sus rutinas de inicialización en un intento de impedir el acceso a los archivos ubicados fuera de /var/ftproot. Sin embargo, como el servidor no cambia el directorio de trabajo actual llamando a chdir("/"), un usuario malintencionado podría solicitar el archivo "../../../../../etc/passwd" y obtener una copia del archivo de contraseña del sistema.

La especificación de Enterprise JavaBeans exige que todos los proveedores de bean sigan una serie de instrucciones de programación diseñadas para garantizar que el bean sea portátil y se comporte de forma coherente en cualquier contenedor EJB [1].

En este caso, el programa infringe la siguiente instrucción EJB:

"Un enterprise bean no debe usar la funcionalidad AWT para tratar de mostrar información en una pantalla, o para introducir información desde un teclado".

Se trata de un requisito que la especificación justifica de la siguiente forma:

"Los servidores no permiten la interacción directa entre un programa de aplicación y un teclado o una pantalla conectados al sistema del servidor".

La especificación de Enterprise JavaBeans exige que todos los proveedores de bean sigan una serie de instrucciones de programación diseñadas para garantizar que el bean sea portátil y se comporte de forma coherente en cualquier contenedor EJB [1].

En este caso, el programa infringe la siguiente instrucción EJB:

"Enterprise bean no debe intentar crear un cargador de clases, establecer el cargador de clases de contexto, establecer el administrador de seguridad, crear un nuevo administrador de seguridad, detener el JVM ni cambiar los flujos de entrada, salida y error".

Se trata de un requisito que la especificación justifica de la siguiente forma:

"Estas funciones están reservadas para el contenedor de Enterprise Beans. Permitir a enterprise bean usar estas funciones podría comprometer la seguridad y reducir la capacidad del contenedor de administrar adecuadamente el entorno de tiempo de ejecución".

La especificación de Enterprise JavaBeans exige que todos los proveedores de bean sigan una serie de instrucciones de programación diseñadas para garantizar que el bean sea portátil y se comporte de forma coherente en cualquier contenedor EJB [1].

En este caso, el programa infringe la siguiente instrucción EJB:

"Un enterprise bean debe usar un paquete Java E/S con cuidado para tratar de acceder a archivos y directorios del sistema de archivos".

Se trata de un requisito que la especificación justifica de la siguiente forma:

"Las API del sistema de archivos no son adecuadas para que los componentes comerciales accedan a los datos. Es posible que no se pueda acceder a los archivos desde todas las instancias o que su contenido sea diferente en distintas instancias. Además, coordinar actualizaciones del archivo puede resultar difícil. Los componentes de negocio deben utilizar una API de administrador de recursos, como JDBC, para almacenar datos".

La especificación de Enterprise JavaBeans exige que todos los proveedores de bean sigan una serie de instrucciones de programación diseñadas para garantizar que el bean sea portátil y se comporte de forma coherente en cualquier contenedor EJB [1].

En este caso, el programa infringe la siguiente instrucción EJB:

"Un enterprise bean no debe intentar escuchar en un socket, aceptar conexiones en un socket ni utilizar un socket para multidifusión".

Se trata de un requisito que la especificación justifica de la siguiente forma:

"La arquitectura de Enterprise Beans permite que una instancia enterprise bean sea un cliente de socket de red, pero no le permite ser un servidor de red. Permitir que la instancia se convierta en un servidor de red entraría en conflicto con la función básica del enterprise bean: servir a los clientes de Enterprise Beans".

La especificación de Enterprise JavaBeans exige que todos los proveedores de bean sigan una serie de instrucciones de programación diseñadas para garantizar que el bean sea portátil y se comporte de forma coherente en cualquier contenedor EJB [1].

En este caso, el programa infringe la siguiente instrucción EJB:

"Un enterprise bean no debe usar primitivos de sincronización de subprocesos para sincronizar la ejecución de varias instancias, a menos que sea un bean de sesión singleton con simultaneidad administrada por bean".

Se trata de un requisito que la especificación justifica de la siguiente forma:

"Esta regla es necesaria para garantizar una semántica de tiempo de ejecución coherente, porque mientras algunos contenedores de Enterprise Beans pueden usar un solo JVM para ejecutar todas las instancias de enterprise bean, otros podrían distribuir las instancias entre varios JVM".

Un archivo queda al descubierto cuando:
1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para crear de forma dinámica una ruta.

Ejemplo 1: El siguiente código obtiene datos que no son de confianza y los utiliza para abrir un archivo que se devuelve al usuario.

from django.http import FileResponse
...
def file_disclosure(request):
    path = request.GET['returnURL']
    return FileResponse(open(path, 'rb'))
...

Si un usuario malintencionado ha proporcionado una URL con un parámetro de solicitud que coincide con una ubicación de archivo confidencial, este podrá ver ese archivo. Por ejemplo, "http://www.yourcorp.com/webApp/logic?returnURL=settings.py" le permitiría ver el archivo "settings.py" de la aplicación.

Un archivo queda al descubierto cuando:
1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para crear de forma dinámica una ruta.

Ejemplo 1: el siguiente código obtiene datos que no son de confianza y los utiliza para crear una ruta que se utiliza en un reenvío del servidor.

...
String returnURL = request.getParameter("returnURL");
	RequestDispatcher rd = request.getRequestDispatcher(returnURL);
	rd.forward();
...

Ejemplo 2: el siguiente código obtiene datos que no son de confianza y los utiliza para crear una ruta que se utiliza en un reenvío del servidor.

...
	<% String returnURL = request.getParameter("returnURL"); %>
	<jsp:include page="<%=returnURL%>" />
	...

Si un usuario malintencionado ha proporcionado una URL con un parámetro de solicitud que coincide con una ubicación de archivo confidencial, este podrá ver ese archivo. Por ejemplo, "http://www.yourcorp.com/webApp/logic?returnURL=WEB-INF/applicationContext.xml" le permitiría ver el archivo applicationContext.xml de la aplicación.
Una vez que el usuario malintencionado dispone de applicationContext.xml, podría localizar y descargar otros archivos de configuración a los que se hace referencia en este archivo, o incluso archivos class o jar. Esto permitiría a un usuario malintencionado obtener información confidencial acerca de una aplicación y usarla para otros tipos de ataques.

Un archivo queda al descubierto cuando:
1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para crear de forma dinámica una ruta.

Ejemplo 1: el siguiente código obtiene datos que no son de confianza y los utiliza para crear una ruta que se utiliza en un reenvío del servidor.

...
	String returnURL = request.getParameter("returnURL");
	return new ModelAndView(returnURL);
	...

Si un usuario malintencionado ha proporcionado una URL con un parámetro de solicitud que coincide con una ubicación de archivo confidencial, este podrá ver ese archivo. Por ejemplo, "http://www.yourcorp.com/webApp/logic?returnURL=WEB-INF/applicationContext.xml" le permitiría ver el archivo applicationContext.xml de la aplicación.
Una vez que el usuario malintencionado dispone de applicationContext.xml, podría localizar y descargar otros archivos de configuración a los que se hace referencia en este archivo, o incluso archivos class o jar. Esto permitiría a un usuario malintencionado obtener información confidencial acerca de una aplicación y usarla para otros tipos de ataques.

En Spring Webflow, se utiliza un solucionador de vistas para traducir el nombre de una vista en una tecnología de representación real. Normalmente, un solucionador de vistas limitará el tipo y la ubicación de los archivos utilizando prefijos y sufijos. Sin embargo, el uso de parámetros de solicitud para especificar el nombre de la vista permite eludir este mecanismo.
Ejemplo 1: Las siguientes configuraciones de Spring Webflow usan parámetros de solicitud para especificar el nombre de la vista.

<webflow:end-state id="finalStep" view="${requestParameters.url}"/>
<webflow:view-state id="showView" view="${requestParameters.test}">

El solucionador de vistas predeterminado de Spring Webflow está diseñado para permitir que solo se resuelvan los archivos jsp en "/WEB-INF/views/".

<bean class="org.springframework.web.servlet.view.
               InternalResourceViewResolver">
    <property name="prefix" value="/WEB-INF/views/" />
    <property name="suffix" value=".jsp" />
</bean>

Un atacante podría usar la siguiente URL para ver el archivo applicationContext.xml: "http://www.yourcorp.com/webApp/logic?url=../applicationContext.xml;x="
El InternalResourceViewResolver tomará el prefijo con el que está configurado, luego concatenará el valor pasado en el atributo de vista y finalmente agregará el sufijo.
La URL relativa resultante, "/WEB-INF/views/../applicationContext.xml;x=.jsp" se pasa al distribuidor de solicitudes del lado del servidor. El punto y coma permite al atacante convertir el sufijo ".jsp" en un parámetro de ruta. Este ataque se puede utilizar para revelar cualquier archivo en la raíz de la aplicación web.

Un archivo queda al descubierto cuando:
1. Los datos entran en un programa desde un origen que no es de confianza.


2. Los datos se utilizan para crear de forma dinámica una ruta.

Ejemplo 1: el siguiente código obtiene datos que no son de confianza y los utiliza para crear una ruta que se utiliza en un reenvío del servidor.

...
	String returnURL = request.getParameter("returnURL");
	return new ActionForward(returnURL);
	...

Si un usuario malintencionado ha proporcionado una URL con un parámetro de solicitud que coincide con una ubicación de archivo confidencial, este podrá ver ese archivo. Por ejemplo, "http://www.yourcorp.com/webApp/logic?returnURL=WEB-INF/applicationContext.xml" le permitiría ver el archivo applicationContext.xml de la aplicación.
Una vez que el usuario malintencionado dispone de applicationContext.xml, podría localizar y descargar otros archivos de configuración a los que se hace referencia en este archivo, o incluso archivos class o jar. Esto permitiría a un usuario malintencionado obtener información confidencial acerca de una aplicación y usarla para otros tipos de ataques.

Las vulnerabilidades de inspección de montón se producen cuando los datos confidenciales como, por ejemplo, una contraseña o una clave de cifrado, se pueden mostrar a un usuario malintencionado porque no se han eliminado de la memoria.

La función realloc() se utiliza normalmente para aumentar el tamaño de un bloque de memoria asignada. Esta operación requiere a menudo la copia de contenido del bloque de memoria antiguo a uno nuevo más grande. Esta operación deja intacto el contenido del bloque original, pero inaccesible para el programa, lo que impide que este pueda limpiar datos confidenciales de la memoria. Si un usuario malintencionado consigue examinar posteriormente el contenido del volcado de la memoria, los datos confidenciales podrían mostrarse.

Ejemplo 1: El siguiente código llama a realloc() en un búfer que contiene datos confidenciales:

plaintext_buffer = get_secret();
...
plaintext_buffer = realloc(plaintext_buffer, 1024);
...
scrub_memory(plaintext_buffer, 1024);

Se intentan limpiar los datos confidenciales de la memoria, pero se utiliza realloc(), por lo que una copia de los mismos aún puede estar visible en la memoria asignada originalmente para plaintext_buffer.

Las vulnerabilidades de inspección de montón se producen cuando los datos confidenciales como, por ejemplo, una contraseña o una clave de cifrado, se pueden mostrar a un usuario malintencionado porque no se han eliminado de la memoria.

La función VirtualLock está diseñada para bloquear páginas en la memoria a fin de impedir que se transmitan a un disco. Sin embargo, en Windows 95/98/ME, la función solo se implementa como código stub y no tiene ningún efecto.