Reino: Encapsulation

La encapsulación consiste en crear límites fuertes. En un explorador web esto puede suponer la seguridad de que tu codificación móvil no se vea comprometido por otro código móvil. En el servidor puede significar la diferenciación entre los datos validados y los que no lo están, entre los datos de un usuario y los de otro, o entre los diferentes usuarios, los datos que pueden ver y los que no.

104 elementos encontrados
Debilidades

Cross-Session Contamination

Abstract
La transferencia de valores entre localStorage y sessionStorage puede exponer información confidencial inintencionadamente.
Explanation
HTML5 proporciona mapas localStorage y sessionStorage de manera que los desarrolladores pueden conservar valores de programa. El mapa sessionStorage proporciona almacenamiento para la página de invocación y dura solo el tiempo de la instancia de la página y de la sesión inmediata del explorador. El mapa localStorage, sin embargo, proporciona almacenamiento al que se puede acceder mediante varias instancias de página y varias instancias de explorador. Esta funcionalidad permite a una aplicación conservar y utilizar la misma información en varias pestañas o ventanas de explorador.

Por ejemplo, un desarrollador puede querer utilizar varias pestañas o instancias de explorador en una aplicación de viajes y además querer que un usuario pueda abrir varias pestañas para comparar alojamientos, al mismo tiempo que se conservan los criterios de búsqueda originales del usuario. En las condiciones de almacenamiento HTTP habituales, el usuario se arriesga con compras y decisiones que realiza en una pestaña (y que se almacenan en la sesión o en las cookies), lo que interfiere en las compras que realiza en otra pestaña.

Con la capacidad de utilizar valores de usuario entre varias pestañas del explorador, los desarrolladores deben tener cuidado de no traspasar información confidencial del ámbito sessionStorage al ámbito localStorage y viceversa.

Ejemplo: en el ejemplo siguiente, se almacena la información del CCV de una tarjeta de crédito en la sesión para indicar que un usuario ya ha autorizado al sitio para que realice cargos en la tarjeta que consta en el archivo como método de pago de la compra. Para cada intento de compra dentro del contexto de la pestaña del explorador, se requiere la aprobación de la tarjeta de crédito. Para evitar tener que introducir el número CCV de nuevo, la información se almacena en el objeto sessionStorage. No obstante, el desarrollador también almacena la información en el objeto localStorage. 


...
try {
    sessionStorage.setItem("userCCV", currentCCV);
} catch (e) {
    if (e == QUOTA_EXCEEDED_ERR) {
        alert('Quota exceeded.');
    }
    }

    ...
    ...

    var retrieveObject = sessionStorage.getItem("userCCV");
try {
     localStorage.setItem("userCCV",retrieveObject);
} catch (e) {
     if (e == QUOTA_EXCEEDED_ERR) {
        alert('Quota exceeded.');
	}
     ...

     var userCCV = localStorage.getItem("userCCV");
...
}
...


Al volver a colocar la información en el objeto localStorage, la información del número CCV ahora está disponible en otras pestañas del explorador además de en las invocaciones nuevas del explorador. Esto omitirá la lógica de la aplicación para el flujo de trabajo previsto.
desc.dataflow.javascript.cross_session_contamination

Cross-Site Request Forgery

Abstract
El método o el constructor del controlador de la acción de página de Visualforce realiza tareas confidenciales sin protección contra solicitudes no autorizadas.
Explanation
Se genera una vulnerabilidad de Cross-site Request Forgery (CSRF) cuando:
1. Una aplicación web utiliza cookies de sesión.

2. La aplicación actúa en una solicitud de HTTP sin verificar si la solicitud se realizó con el consentimiento del usuario.

De forma predeterminada, las páginas de Visualforce se representan con campos de formulario ocultos que sirven como tokens anti-CSRF. Estos tokens se incluyen en las solicitudes que se envían desde dentro de la página y el servidor verifica la validez de los tokens antes de ejecutar los métodos o comandos de acción correspondientes. Sin embargo, esta defensa integrada no se aplica a los métodos de acción de página ni a los constructores de controladores de página personalizados porque se ejecutan antes de que se generen los tokens anti-CSRF durante la carga de la página.

Ejemplo 1: La siguiente página de Visualforce declara un controlador personalizado MyAccountActions y un método de acción de página pageAction(). El método pageAction() se ejecuta al visitar la URL de la página y el servidor no comprueba los tokens anti-CSRF.


<apex:page controller="MyAccountActions" action="{!pageAction}">
    ...
</apex:page>

public class MyAccountActions {

    ...
    public void pageAction() {
        Map<String,String> reqParams = ApexPages.currentPage().getParameters();
        if (params.containsKey('id')) {
            Id id = reqParams.get('id');
            Account acct = [SELECT Id,Name FROM Account WHERE Id = :id];
            delete acct;
        }
    }
    ...
}


Un atacante podría configurar un sitio web malintencionado que contuviese el siguiente código:

<img src="http://my-org.my.salesforce.com/apex/mypage?id=YellowSubmarine" height=1 width=1/>


Si un administrador de la página de Visualforce visita la página malintencionada mientras tiene una sesión activa en el sitio, borrará involuntariamente cuentas para el atacante.
References
[1] Salesforce Security Tips for Apex and Visualforce Development - Cross-Site Request Forgery (CSRF)
[2] A. Klein Divide and Conquer: HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics
desc.structural.apex.csrf
Abstract
Las solicitudes HTTP que cambian de estado deben contener un secreto específico de usuario para evitar que un atacante realice solicitudes no autorizadas.
Explanation
Se genera una vulnerabilidad de Cross-site Request Forgery (CSRF) cuando:
1. Una aplicación web utiliza cookies de sesión.
2. La aplicación actúa en una solicitud de HTTP sin verificar si la solicitud se realizó con el consentimiento del usuario.

Ejemplo 1: En el siguiente ejemplo, una aplicación web permite que los administradores creen cuentas nuevas:


  RequestBuilder rb = new RequestBuilder(RequestBuilder.POST, "/new_user");
  body = addToPost(body, new_username);
  body = addToPost(body, new_passwd);
  rb.sendRequest(body, new NewAccountCallback(callback));


Un atacante podría configurar un sitio web malintencionado que contuviese el siguiente código:


  RequestBuilder rb = new RequestBuilder(RequestBuilder.POST, "http://www.example.com/new_user");
  body = addToPost(body, "attacker";
  body = addToPost(body, "haha");
  rb.sendRequest(body, new NewAccountCallback(callback));


Si un administrador de example.com visita la página malintencionada mientras tiene una sesión activa en el sitio, creará involuntariamente una cuenta para el atacante. Esto es lo que se denomina un ataque CSRF. Este ataque es posible porque la aplicación no tiene forma de determinar la procedencia de la solicitud. Todas las solicitudes podrían ser acciones válidas elegidas por el usuario o acciones engañosas determinadas por un atacante. El atacante no ve la página web que la solicitud falsa genera, por lo que esta técnica de ataque solo es útil para las solicitudes que alteran el estado de la aplicación.

Las aplicaciones que pasan el identificador de sesión en la URL en lugar de hacerlo en una cookie no tienen problemas de CSRF, ya que el atacante no tiene forma de acceder al identificador de sesión ni incluirlo como parte de la solicitud falsa.

Algunos marcos de trabajo incluyen automáticamente nonces de CSRF para proteger las aplicaciones. Si se deshabilita esta función, la aplicación puede quedar en peligro.

Ejemplo 2: Esta aplicación protegida con Spring Security deshabilita de forma explícita la protección CSRF.


	<http auto-config="true">
        ...
        <csrf disabled="true"/>
	</http>
References
[1] A. Klein Divide and Conquer: HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics
[2] OWASP OWASP Top 10
[3] OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet
desc.config.java.csrf
Abstract
Las solicitudes HTTP deben contener un secreto específico de usuario para evitar que un atacante realice solicitudes no autorizadas.
Explanation
Una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) ocurre cuando:
1. Una aplicación web utiliza cookies de la sesión.

2. La aplicación actúa con una solicitud de HTTP sin verificar si la solicitud se realizó con el consentimiento del usuario.



Un nonce es un valor aleatorio criptográfico que se envía con un mensaje para evitar ataques de reproducción. Si la solicitud no contiene un nonce que demuestre su procedencia, el código que maneja la solicitud es vulnerable a un ataque CSRF (a menos que no cambie el estado de la aplicación). Esto significa que una aplicación web que utiliza cookies de sesión debe tomar precauciones especiales para garantizar que un atacante no pueda engañar a los usuarios para que envíen solicitudes falsas. Imagine una aplicación web que permita a los administradores crear nuevas cuentas de la siguiente manera:



  var req = new XMLHttpRequest();
  req.open("POST", "/new_user", true);
  body = addToPost(body, new_username);
  body = addToPost(body, new_passwd);
  req.send(body);


Un atacante podría configurar un sitio web malicioso que contuviese el siguiente código.


  var req = new XMLHttpRequest();
  req.open("POST", "http://www.example.com/new_user", true);
  body = addToPost(body, "attacker");
  body = addToPost(body, "haha");
  req.send(body);


Si un administrador de example.com visita la página malintencionada mientras tiene una sesión activa en el sitio, creará sin quererlo una cuenta para el usuario malintencionado. Esto es lo que se denomina un ataque CSRF. Este ataque es posible porque la aplicación no tiene forma de determinar la procedencia de la solicitud. Todas las solicitudes podrían ser acciones válidas elegidas por el usuario o acciones engañosas llevadas a cabo por un atacante. El atacante no ve la página web que la solicitud falsa genera, por lo que esta técnica de ataque solo es útil para las solicitudes que alteran el estado de la aplicación.

Las aplicaciones que pasan el identificador de sesión en la URL en lugar de hacerlo en una cookie no tienen problemas de CSRF, ya que no hay forma de que el usuario malintencionado acceda al identificador de sesión y lo incluya como parte de la solicitud falsa.
CSRF es la entrada situada en la posición cinco de la lista de las diez vulnerabilidades principales de OWASP 2007.
References
[1] A. Klein Divide and Conquer: HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics
[2] OWASP 2007 OWASP Top 10
desc.structural.javascript.csrf
Abstract
La aplicación de Django no permite la protección del software intermedio de CSRF.
Explanation
Una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) ocurre cuando:
1. Una aplicación web utiliza cookies de la sesión.

2. La aplicación actúa con una solicitud de HTTP sin verificar si la solicitud se realizó con el consentimiento del usuario.

Un nonce es un valor criptográfico aleatorio que se envía con un mensaje para prevenir ataques de reproducción. Si la solicitud no contiene un nonce que demuestre su procedencia, el código que administra la solicitud será vulnerable a un ataque de CSRF (a menos que no modifique el estado de la aplicación). Esto implica que una aplicación web que utilice cookies de sesión debe tomar precauciones especiales para garantizar que un atacante no pueda engañar a los usuarios para que envíen solicitudes falsas. Imagine una aplicación web que permite a los administradores crear cuentas nuevas enviando este formulario:


<form method="POST" action="/new_user" >
Name of new user: <input type="text" name="username">
Password for new user: <input type="password" name="user_passwd">
<input type="submit" name="action" value="Create User">
</form>


Un atacante podría establecer un sitio web con lo siguiente:


<form method="POST" action="http://www.example.com/new_user">
<input type="hidden" name="username" value="hacker">
<input type="hidden" name="user_passwd" value="hacked">
</form>
<script>
document.usr_form.submit();
</script>


Si un administrador de example.com visita la página malintencionada mientras tiene una sesión activa en el sitio, creará sin quererlo una cuenta para el usuario malintencionado. Esto es lo que se denomina un ataque CSRF. Este ataque es posible porque la aplicación no tiene forma de determinar la procedencia de la solicitud. Todas las solicitudes podrían ser acciones válidas elegidas por el usuario o acciones engañosas llevadas a cabo por un atacante. El atacante no ve la página web que la solicitud falsa genera, por lo que esta técnica de ataque solo es útil para las solicitudes que alteran el estado de la aplicación.

Las aplicaciones que pasan el identificador de sesión en la URL en lugar de hacerlo en una cookie no tienen problemas de CSRF, ya que no hay forma de que el usuario malintencionado acceda al identificador de sesión y lo incluya como parte de la solicitud falsa.
References
[1] A. Klein Divide and Conquer: HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics
desc.structural.python.cross_site_request_forgery_django_settings
Abstract
Las solicitudes HTTP deben contener un secreto específico de usuario para evitar que un atacante realice solicitudes no autorizadas.
Explanation
Una vulnerabilidad Cross-Site Request Forgery (CSRF) ocurre cuando:
1. Una aplicación web utiliza cookies de sesión.

2. La aplicación actúa en una solicitud de HTTP sin verificar si la solicitud se realizó con el consentimiento del usuario.

Un nonce es un valor criptográfico aleatorio que se envía con un mensaje para prevenir ataques de reproducción. Si la solicitud no contiene un nonce que demuestre su procedencia, el código que administra la solicitud será vulnerable a un ataque de CSRF (a menos que no modifique el estado de la aplicación). Esto implica que una aplicación web que utilice cookies de sesión debe tomar precauciones especiales para garantizar que un atacante no pueda engañar a los usuarios para que envíen solicitudes falsas. Imaginemos una aplicación web que permite a los administradores crear cuentas nuevas de la siguiente forma:

De forma predeterminada, Play Framework agrega protección frente a CSRF, pero se puede deshabilitar de forma global o para determinadas rutas.

Ejemplo: La definición de ruta siguiente deshabilita la protección CSRF para el método de controlador buyItem.

+ nocsrf
POST    /buyItem     controllers.ShopController.buyItem


Si un usuario engañado visita una página malintencionada mientras tiene una sesión activa en shop.com, comprará sin quererlo artículos para el atacante. Esto es lo que se denomina un ataque CSRF. Este ataque es posible porque la aplicación no tiene forma de determinar la procedencia de la solicitud. Todas las solicitudes podrían ser acciones válidas elegidas por el usuario o acciones engañosas determinadas por un atacante. El atacante no ve la página web que la solicitud falsa genera, por lo que esta técnica de ataque solo es útil para las solicitudes que alteran el estado de la aplicación.

Las aplicaciones que pasan el identificador de sesión en la URL en lugar de hacerlo en una cookie no tienen problemas de CSRF, ya que no hay forma de que el atacante acceda al identificador de sesión y lo incluya como parte de la solicitud falsa.
References
[1] A. Klein Divide and Conquer: HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics
[2] OWASP Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet
desc.semantic.scala.cross_site_request_forgery
Abstract
Los envíos de formularios deben contener un secreto específico del usuario para impedir que los atacantes realicen solicitudes no autorizadas.
Explanation
Una vulnerabilidad de falsificación de solicitud entre sitios (CSRF) ocurre cuando:
1. Una aplicación web utiliza cookies de la sesión.

2. La aplicación actúa con una solicitud de HTTP sin verificar si la solicitud se realizó con el consentimiento del usuario.



Un nonce es un valor criptográfico aleatorio que se envía con un mensaje para prevenir ataques de reproducción. Si la solicitud no contiene un nonce que demuestre su procedencia, el código que administra la solicitud será vulnerable a un ataque de CSRF (a menos que no modifique el estado de la aplicación). Esto implica que una aplicación web que utilice cookies de sesión debe tomar precauciones especiales para garantizar que un atacante no pueda engañar a los usuarios para que envíen solicitudes falsas. Imagine una aplicación web que permite a los administradores crear cuentas nuevas enviando este formulario:


<form method="POST" action="/new_user" >
  Name of new user: <input type="text" name="username">
  Password for new user: <input type="password" name="user_passwd">
    <input type="submit" name="action" value="Create User">
</form>


Un atacante podría establecer un sitio web con lo siguiente:


<form method="POST" action="http://www.example.com/new_user">
  <input type="hidden" name="username" value="hacker">
  <input type="hidden" name="user_passwd" value="hacked">
</form>
<script>
  document.usr_form.submit();
</script>


Si un administrador de example.com visita la página malintencionada mientras tiene una sesión activa en el sitio, creará sin quererlo una cuenta para el usuario malintencionado. Esto es lo que se denomina un ataque CSRF. Este ataque es posible porque la aplicación no tiene forma de determinar la procedencia de la solicitud. Todas las solicitudes podrían ser acciones válidas elegidas por el usuario o acciones engañosas llevadas a cabo por un atacante. El atacante no ve la página web que la solicitud falsa genera, por lo que esta técnica de ataque solo es útil para las solicitudes que alteran el estado de la aplicación.

Las aplicaciones que pasan el identificador de sesión en la URL en lugar de hacerlo en una cookie no tienen problemas de CSRF, ya que no hay forma de que el usuario malintencionado acceda al identificador de sesión y lo incluya como parte de la solicitud falsa.

CSRF es la entrada situada en la posición cinco de la lista de las diez vulnerabilidades principales de OWASP 2007.
References
[1] A. Klein Divide and Conquer: HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics
[2] OWASP 2007 OWASP Top 10
desc.content.html.csrf

Cross-Site Scripting: Untrusted HTML Downloads

Abstract
Deshabilitar el encabezado X-Download-Options que se define como noopen permite que las páginas HTML descargadas se ejecuten en el contexto de seguridad del sitio que las proporciona.
Explanation
Cuando los sitios deben proporcionar descargas a los usuarios, la opción para abrirlos indica que los archivos proporcionados que se ejecuten en el explorador se podrán abrir en el explorador actual en el mismo contexto de seguridad que el sitio.
Si un atacante consigue manipular los archivos descargados, podrá insertar HTML o scripts que se ejecutan en el explorador para que actúen como ataques de Cross-Site Scripting y roben o manipulen información en la sesión actual.

Ejemplo 1: El siguiente ejemplo deshabilita de forma explícita las protecciones frente a las descargas proporcionadas que se ejecutan en el explorador: 


var express = require('express');
var app = express();
var helmet = require('helmet');

app.use(helmet({
    ieNoOpen: false
}));
...
References
[1] Standards Mapping - CIS Azure Kubernetes Service Benchmark 5
[2] Standards Mapping - CIS Microsoft Azure Foundations Benchmark complete
[3] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 5
[4] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 1
[5] Standards Mapping - CIS Google Kubernetes Engine Benchmark integrity
[6] Standards Mapping - CIS Kubernetes Benchmark complete
[7] Standards Mapping - Common Weakness Enumeration CWE ID 79, CWE ID 80
[8] Standards Mapping - Common Weakness Enumeration Top 25 2019 [2] CWE ID 079
[9] Standards Mapping - Common Weakness Enumeration Top 25 2020 [1] CWE ID 079
[10] Standards Mapping - Common Weakness Enumeration Top 25 2021 [2] CWE ID 079
[11] Standards Mapping - Common Weakness Enumeration Top 25 2022 [2] CWE ID 079
[12] Standards Mapping - Common Weakness Enumeration Top 25 2023 [2] CWE ID 079
[13] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001310, CCI-002754
[14] Standards Mapping - FIPS200 SI
[15] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[16] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)
[17] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation
[18] Standards Mapping - OWASP Top 10 2004 A4 Cross Site Scripting
[19] Standards Mapping - OWASP Top 10 2007 A1 Cross Site Scripting (XSS)
[20] Standards Mapping - OWASP Top 10 2010 A2 Cross-Site Scripting (XSS)
[21] Standards Mapping - OWASP Top 10 2013 A3 Cross-Site Scripting (XSS)
[22] Standards Mapping - OWASP Top 10 2017 A7 Cross-Site Scripting (XSS)
[23] Standards Mapping - OWASP Top 10 2021 A03 Injection
[24] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.3 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3)
[25] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection
[26] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[27] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.4
[28] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.1
[29] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.7
[30] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.7
[31] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.7
[32] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.7
[33] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.7
[34] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[35] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection
[36] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection
[37] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection
[38] Standards Mapping - SANS Top 25 2009 Insecure Interaction - CWE ID 079
[39] Standards Mapping - SANS Top 25 2010 Insecure Interaction - CWE ID 079
[40] Standards Mapping - SANS Top 25 2011 Insecure Interaction - CWE ID 079
[41] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3580 CAT I
[42] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3580 CAT I
[43] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3580 CAT I
[44] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3580 CAT I
[45] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3580 CAT I
[46] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3580 CAT I
[47] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3580 CAT I
[48] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[49] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[50] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[51] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[52] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[53] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[54] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[55] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[56] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[57] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[58] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[59] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[60] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[61] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002490 CAT I, APSC-DV-002560 CAT I
[62] Standards Mapping - Web Application Security Consortium Version 2.00 Cross-Site Scripting (WASC-08)
[63] Standards Mapping - Web Application Security Consortium 24 + 2 Cross-Site Scripting
desc.dataflow.javascript.cross_site_scripting_untrusted_html_downloads

Cross-Site WebSocket Hijacking

Abstract
El servidor no puede verificar el origen de la solicitud y, por lo tanto, acepta solicitudes entre dominios que pueden ser utilizadas por un atacante para secuestrar una conexión bidireccional WebSocket.
Explanation
El secuestro WebSocket entre dominios tiene lugar cuando se engaña a un usuario para que visite un sitio malintencionado que establecerá una conexión WebSocket con un servidor de back-end legítimo. La solicitud HTTP inicial utilizada para preguntar al servidor acerca de la actualización al protocolo WebSocket es una solicitud HTTP normal, por lo que el explorador enviará cualquier cookie enlazada al dominio objetivo, incluidas las cookies de sesión. Si el servidor no puede verificar el encabezado Origin, permitirá que cualquier sitio malintencionado suplante al usuario y establezca una conexión WebSocket bidireccional sin que el usuario se dé cuenta.
References
[1] Christian Schneider Cross-Site WebSocket Hijacking
desc.semantic.dotnet.cross_site_websocket_hijacking
Abstract
El servidor no puede verificar los orígenes de las solicitudes y, por lo tanto, acepta solicitudes entre dominios que pueden ser utilizadas por un atacante para secuestrar conexiones bidireccionales WebSocket.
Explanation
El secuestro WebSocket entre dominios tiene lugar cuando se engaña a un usuario para que visite un sitio malintencionado que establecerá una conexión WebSocket con un servidor de back-end legítimo. La solicitud HTTP inicial utilizada para preguntar al servidor acerca de la actualización al protocolo WebSocket es una solicitud HTTP normal, por lo que el explorador enviará cualquier cookie enlazada al dominio objetivo, incluidas las cookies de sesión. Si el servidor no puede verificar el encabezado Origin, permitirá que cualquier sitio malintencionado suplante al usuario y establezca una conexión WebSocket bidireccional sin que el usuario se dé cuenta.
References
[1] Christian Schneider Cross-Site WebSocket Hijacking
desc.semantic.java.cross_site_websocket_hijacking

Django Bad Practices: Attributes in Deny List

Abstract
La aplicación utiliza una lista de rechazados para controlar qué atributos quedan expuestos con un formulario. Los desarrolladores pueden olvidar actualizar la lista de rechazados al agregar nuevos atributos y podrían exponer accidentalmente campos confidenciales a los atacantes.
Explanation
La aplicación utiliza una lista de rechazados exclude. Esto es difícil de mantener y es susceptible a errores. Si los desarrolladores agregan campos nuevos al formulario o al Model que respalda el formulario y olvidan actualizar el filtro exclude, podrían estar exponiendo campos confidenciales a los atacantes. Los atacantes podrán enviar y enlazar datos malintencionados a cualquier campo no excluido.

Ejemplo 1: el siguiente formulario expone algunos atributos User, pero controla en una lista de rechazados el id del usuario:


from myapp.models import User
...
class UserForm(ModelForm):
  class Meta:
    model = User
    exclude = ['id']
...


Si el modelo User se actualizó con un atributo role nuevo y el UserForm asociado no se actualizó, el atributo role se expondría en el formulario.
References
[1] Django Foundation Creating forms from models
[2] Standards Mapping - CIS Azure Kubernetes Service Benchmark 3
[3] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 5
[4] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 2
[5] Standards Mapping - CIS Google Kubernetes Engine Benchmark normal
[6] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[7] Standards Mapping - OWASP API 2023 API3 Broken Object Property Level Authorization
[8] Standards Mapping - OWASP Mobile 2024 M8 Security Misconfiguration
desc.structural.python.django_bad_practices_attributes_in_deny_list

File Based Cross-Zone Scripting

Abstract
Cargar un archivo que puede ejecutar secuencias de comandos que no son de confianza en el contexto de su aplicación es peligroso.
Explanation
Se producen scripting de zonas basado en archivos cuando se cumplen las siguientes condiciones:

1. Se carga un archivo que permite la ejecución de secuencias de comandos en su aplicación

2. Se asume que la secuencia de comandos cargada tiene el mismo origen que la aplicación en ejecución.

Cuando se cumplen estas dos condiciones, se posibilita una serie de ataques, especialmente si otras partes determinan la confianza basándose en si la información procede de su aplicación.

Ejemplo 1: el siguiente código utiliza WebView de Android para cargar un archivo de forma local:

...
myWebView.loadUrl("file:///android_asset/www/index.html");
...

En el Example 1, el representador de WebView de Android considera que todo aquello cargado con loadUrl() con una dirección URL que empiece por file:// procede del mismo origen.

Un usuario malintencionado dispone de varias formas típicas de aprovechar una vulnerabilidad de scripting de zonas basado en archivos al cargar desde un archivo:
- El archivo local puede ser manipulado por un usuario malintencionado, que puede inyectar scripts en el archivo.
Esto dependerá de los permisos del archivo, de dónde se encuentra el archivo o de las condiciones de carrera donde un archivo se puede cargar y luego cargar (podría haber un margen de tiempo para la modificación).

- El archivo puede llamar a un recurso externo.
Esto puede ocurrir cuando el archivo cargado recupera secuencias de comandos de un recurso externo.

Ejemplo 2: el siguiente código mira un origen externo para determinar el código JavaScript que debe ejecutar.

  <script src="http://www.example.com/js/fancyWidget.js"></script>

En el Example 2, se utiliza un protocolo inseguro, que podría permitir que la secuencia de comandos resultante fuera modificada por una persona malintencionada. De forma alternativa, se podrían realizar otros ataques para volver a enrutar el equipo al sitio del usuario malintencionado.

- el archivo cargado puede contener vulnerabilidades de Cross-Site Scripting.
Si se puede inyectar código en el archivo que se está cargando, el código inyectado podría ejecutarse en el contexto de su aplicación. Esto no tiene que ser necesariamente la habilidad de inyectar JavaScript; simplemente la capacidad de inyectar HTML podría habilitar las desfiguraciones o los ataques por denegación de servicio.
References
[1] Erika Chin and David Wagner Bifocals: Analyzing WebView Vulnerabilities in Android Applications
desc.semantic.java.file_based_cross_zone_scripting
Abstract
Cargar un archivo local que puede ejecutar scripts que no son de confianza en el contexto con privilegios de su aplicación es peligroso.
Explanation
Se produce scripting de zonas basado en archivos cuando se cumplen las siguientes condiciones:

1. Se carga un archivo que permite la ejecución de scripts en su aplicación.


2. Se asume que el script cargado tiene el mismo origen que la aplicación en ejecución (file://).

Cuando se cumplen estas dos condiciones, se posibilita una serie de ataques, especialmente si otras partes determinan la confianza basándose en si la información procede de su aplicación.

Ejemplo 1: el código siguiente utiliza el método UIWebView.loadRequest(_:) para cargar un archivo local:

...
NSURL *url = [[NSBundle mainBundle] URLForResource: filename withExtension:extension]; 
[webView loadRequest:[[NSURLRequest alloc] initWithURL:url]];
...


En el Example 1, el motor WebView considera que todo aquello cargado con UIWebView.loadRequest(_:) con una dirección URL que empiece por file:// procede del mismo archivo local con privilegios.

Un usuario malintencionado dispone de varias formas típicas de aprovechar una vulnerabilidad de scripting de zonas basado en archivos al cargar desde un archivo:

- El archivo local puede estar controlado por el atacante. Por ejemplo, el atacante puede enviar el archivo a su víctima, que lo almacena en la aplicación vulnerable (por ejemplo: una aplicación de almacenamiento en la nube).
- El archivo local puede ser manipulado por un usuario malintencionado, que puede inyectar scripts en el archivo. Esto dependerá de los permisos del archivo, de dónde se encuentra el archivo o de las condiciones de carrera donde un archivo se puede guardar y luego cargar (podría haber un margen de tiempo para la modificación).
- El archivo puede llamar a un recurso externo. Esto puede ocurrir cuando el archivo cargado recupera scripts de un recurso externo.
- El archivo cargado puede contener vulnerabilidades de Cross-Site Scripting. Si el archivo que se está cargando incluye código inyectado, dicho código podría ejecutarse en el contexto de su aplicación. No es necesario que el código inyectado sea de tipo JavaScript; el HTML inyectado también podría habilitar las desfiguraciones o los ataques por denegación de servicio.

Si el archivo controlado por el atacante se carga localmente con una dirección URL file://, la política del mismo origen permitirá que los scripts de este archivo accedan a cualquier otro archivo del mismo origen, lo que puede permitir que un atacante acceda a cualquier archivo local que contenga información confidencial.
References
[1] Same-origin policy for file: URIs Mozilla
[2] Old Habits Die Hard: Cross-Zone Scripting in Dropbox & Google Drive Mobile Apps IBM
[3] loadHTMLString(_:baseURL:) API documentation Apple
[4] loadRequest(_:) API documentation Apple
desc.dataflow.objc.file_based_cross_zone_scripting
Abstract
Cargar un archivo local que puede ejecutar scripts que no son de confianza en el contexto con privilegios de su aplicación es peligroso.
Explanation
Se produce scripting de zonas basado en archivos cuando se cumplen las siguientes condiciones:

1. Se carga un archivo que permite la ejecución de scripts en su aplicación.


2. Se asume que el script cargado tiene el mismo origen que la aplicación en ejecución (file://).

Cuando se cumplen estas dos condiciones, se posibilita una serie de ataques, especialmente si otras partes determinan la confianza basándose en si la información procede de su aplicación.

Ejemplo 1: el código siguiente utiliza el método UIWebView.loadRequest(_:) para cargar un archivo local:

...
let url = Bundle.main.url(forResource: filename, withExtension: extension)
self.webView!.load(URLRequest(url:url!))
...


En el Example 1, el motor WebView considera que todo aquello cargado con UIWebView.loadRequest(_:) con una dirección URL que empiece por file:// procede del mismo archivo local con privilegios.

Un usuario malintencionado dispone de varias formas típicas de aprovechar una vulnerabilidad de scripting de zonas basado en archivos al cargar desde un archivo:

- El archivo local puede estar controlado por el atacante. Por ejemplo, el atacante puede enviar el archivo a su víctima, que lo almacena en la aplicación vulnerable (por ejemplo: una aplicación de almacenamiento en la nube).
- El archivo local puede ser manipulado por un usuario malintencionado, que puede inyectar scripts en el archivo. Esto dependerá de los permisos del archivo, de dónde se encuentra el archivo o de las condiciones de carrera donde un archivo se puede guardar y luego cargar (podría haber un margen de tiempo para la modificación).
- El archivo puede llamar a un recurso externo. Esto puede ocurrir cuando el archivo cargado recupera scripts de un recurso externo.
- El archivo cargado puede contener vulnerabilidades de Cross-Site Scripting. Si el archivo que se está cargando incluye código inyectado, dicho código podría ejecutarse en el contexto de su aplicación. No es necesario que el código inyectado sea de tipo JavaScript; el HTML inyectado también podría habilitar las desfiguraciones o los ataques por denegación de servicio.

Si el archivo controlado por el atacante se carga localmente con una dirección URL file://, la política del mismo origen permitirá que los scripts de este archivo accedan a cualquier otro archivo del mismo origen, lo que puede permitir que un atacante acceda a cualquier archivo local que contenga información confidencial.
References
[1] Same-origin policy for file: URIs Mozilla
[2] Old Habits Die Hard: Cross-Zone Scripting in Dropbox & Google Drive Mobile Apps IBM
[3] loadHTMLString(_:baseURL:) API documentation Apple
[4] loadRequest(_:) API documentation Apple
desc.dataflow.swift.file_based_cross_zone_scripting

Flash Misconfiguration: Overly Permissive Cross-Domain Policy

Abstract
El programa define una directiva entre dominios demasiado permisiva.
Explanation
De forma predeterminada, las aplicaciones Flash están sujetas a la misma directiva de origen, lo que garantiza que dos aplicaciones SWF pueden tener acceso a los datos respectivos solo si proceden del mismo dominio. Adobe Flash permite a los desarrolladores modificar la directiva mediante programación o a través de la configuración adecuada en el archivo de configuración crossdomain.xml. Sin embargo, es necesario tener cuidado al cambiar la configuración porque una directiva entre dominios demasiado permisiva permitirá que una aplicación malintencionada se comunique con la aplicación víctima de manera inadecuada, lo que provocará suplantación de identidad, robo de datos, retransmisión y otros ataques.

Ejemplo 1: El código siguiente es un ejemplo del uso de un carácter comodín para especificar mediante programación los dominios con los que la aplicación se puede comunicar.


   flash.system.Security.allowDomain("*");


El uso de * como el argumento de allowDomain() indica que otras aplicaciones SWF pueden tener acceso a los datos desde cualquier dominio.
References
[1] Peleus Uhley Creating more secure SWF web applications
[2] Matt Wood and Prajakta Jagdale Auditing Adobe Flash through Static Analysis
[3] Standards Mapping - CIS Azure Kubernetes Service Benchmark 2
[4] Standards Mapping - CIS Microsoft Azure Foundations Benchmark partial
[5] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 5
[6] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 1
[7] Standards Mapping - CIS Google Kubernetes Engine Benchmark integrity
[8] Standards Mapping - Common Weakness Enumeration CWE ID 942
[9] Standards Mapping - Common Weakness Enumeration Top 25 2023 [24] CWE ID 863
[10] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001368, CCI-001414
[11] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation
[12] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-4 Information Flow Enforcement (P1)
[13] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-4 Information Flow Enforcement
[14] Standards Mapping - OWASP Top 10 2013 A5 Security Misconfiguration
[15] Standards Mapping - OWASP Top 10 2017 A6 Security Misconfiguration
[16] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[17] Standards Mapping - OWASP Application Security Verification Standard 4.0 14.4.6 HTTP Security Headers Requirements (L1 L2 L3), 14.5.3 Validate HTTP Request Header Requirements (L1 L2 L3)
[18] Standards Mapping - OWASP Mobile 2014 M5 Poor Authorization and Authentication
[19] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.10
[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8
[21] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8
[22] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8
[23] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8
[24] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[25] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control
[26] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control
[27] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls
[28] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[29] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[30] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[31] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[32] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[33] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[34] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[35] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[36] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[37] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[38] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[39] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[40] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[41] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000480 CAT II, APSC-DV-000490 CAT II
[42] Standards Mapping - Web Application Security Consortium Version 2.00 Application Misconfiguration (WASC-15)
desc.semantic.actionscript.flash_misconfiguration_overly_permissive_cross_domain_policy