Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación que esté repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Este defecto se puede utilizar para ejecutar un ataque de denegación de servicio (DoS).
Ejemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Este defecto se puede utilizar para ejecutar un ataque Denial of Service (DoS).
Ejemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se bloquee al evaluar expresiones regulares que contienen una expresión de agrupación repetida. Adicionalmente, los atacantes pueden explotar cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí. Este defecto se puede utilizar para ejecutar un ataque Denial of Service (DoS).
Ejemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación que esté repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Este defecto se puede utilizar para ejecutar un ataque de denegación de servicio (DoS).
Ejemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Los atacantes pueden aprovechar este defecto para ejecutar un ataque de denegación de servicio (DoS).
Ejemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación que esté repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Este defecto se puede utilizar para ejecutar un ataque de denegación de servicio (DoS).
Ejemplo 1: Si se utilizan las siguientes expresiones regulares en el código vulnerable identificado se podría producir una denegación de servicio:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

Ejemplo de código problemático que depende de las expresiones regulares con errores:

NSString *regex = @"^(e+)+$";
NSPredicate *pred = [NSPRedicate predicateWithFormat:@"SELF MATCHES %@", regex];
if ([pred evaluateWithObject:mystring]) {
  //do something
}

La mayoría de los analizadores de expresión regulares crean estructuras de autómata finito no determinista (Nondeterministic Finite Automaton, NFA) al evaluar las expresiones regulares. Las NFA prueban todas las coincidencias posibles hasta que se encuentra una coincidencia completa. Teniendo en cuenta el ejemplo anterior, si el usuario malintencionado proporciona la cadena "eeeeZ", a continuación, habrá 16 evaluaciones internas que el analizador regex deberá seguir para identificar una coincidencia. Si el usuario malintencionado proporciona 16 "e" ("eeeeeeeeeeeeeeeeZ") como cadena, el analizador regex deberá realizar 65536 (2^16) evaluaciones. El usuario malintencionado puede llegar a consumir recursos informáticos al aumentar el número de caracteres consecutivos de coincidencia. No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación que esté repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Este defecto se puede utilizar para ejecutar un ataque de denegación de servicio (DoS).
Ejemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Este defecto se puede utilizar para ejecutar un ataque de denegación de servicio (DoS).
Ejemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar superposiciones que se repiten y se alternan de grupos regex anidados y repetidos. Este defecto se puede utilizar para ejecutar un ataque de denegación de servicio (DoS).
Ejemplo:

(e+)+
([a-zA-Z]+)*

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación que esté repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Este defecto se puede utilizar para ejecutar un ataque de denegación de servicio (DoS).
Ejemplo:

  (e+)+
  ([a-zA-Z]+)*
  (e|ee)+

No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Hay una vulnerabilidad en las implementaciones de evaluadores de expresiones regulares y métodos relacionados que puede provocar que el subproceso se cuelgue al evaluar expresiones regulares que contengan una expresión de agrupación que esté repetida. Adicionalmente, cualquier expresión regular que contenga subexpresiones alternativas que se solapen entre sí también se puede explotar. Este defecto se puede utilizar para ejecutar un ataque de denegación de servicio (DoS).

Ejemplo 1: Si se utilizan las siguientes expresiones regulares en el código vulnerable identificado se podría producir una denegación de servicio:

(e+)+
([a-zA-Z]+)*
(e|ee)+

Ejemplo de código problemático que depende de las expresiones regulares con errores:

let regex : String = "^(e+)+$"
let pred : NSPredicate = NSPRedicate(format:"SELF MATCHES \(regex)")
if (pred.evaluateWithObject(mystring)) {
  //do something
}

La mayoría de los analizadores de expresión regulares crean estructuras de autómata finito no determinista (Nondeterministic Finite Automaton, NFA) al evaluar las expresiones regulares. Las NFA prueban todas las coincidencias posibles hasta que se encuentra una coincidencia completa. Teniendo en cuenta el Example 1, si el usuario malintencionado proporciona la cadena "eeeeZ", a continuación, habrá 16 evaluaciones internas que el analizador regex deberá seguir para identificar una coincidencia. Si el usuario malintencionado proporciona 16 "e" ("eeeeeeeeeeeeeeeeZ") como cadena, el analizador regex deberá realizar 65536 (2^16) evaluaciones. El usuario malintencionado puede llegar a consumir recursos informáticos al aumentar el número de caracteres consecutivos de coincidencia. No hay implementaciones de expresiones regulares conocidas que sean inmunes a esta vulnerabilidad. Todas las plataformas y los lenguajes son vulnerables a este ataque.

Si se anexan datos controlados por el usuario a una instancia de StringBuilder o StringBuffer inicializada con el tamaño de matriz de caracteres de respaldo predeterminado (16), la aplicación podría consumir una gran cantidad de memoria en montón mientras se cambia el tamaño de la matriz subyacente para acomodar los datos del usuario. Cuando se anexan datos a una instancia StringBuilder o StringBuffer, la instancia determinará si la matriz de caracteres de respaldo posee suficiente espacio libre para almacenar los datos. Si los datos no se pueden acomodar, la instancia StringBuilder o StringBuffer creará una nueva matriz con una capacidad como mínimo dos veces mayor que la anterior, conservándose la matriz antigua en el montón hasta que se recolecte. Los atacantes pueden aprovechar este detalle de implementación para ejecutar un ataque de Denial of Service (DoS).

Ejemplo 1: se anexan datos controlados por el usuario a una instancia de StringBuilder inicializada con el constructor predeterminado.

    ...
    val sb = StringBuilder()
    val labels = request.getParameterValues("label")
    for (label in labels) {
        sb.appendln(label)
    }
    ...

Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, el informe implementa una calculadora básica que permite al usuario especificar los comandos para la ejecución.

...
user_ops = request->get_form_field( 'operation' ).
CONCATENATE: 'PROGRAM zsample.| FORM calculation. |' INTO code_string,
             calculator_code_begin user_ops calculator_code_end INTO code_string,
			 'ENDFORM.|' INTO code_string.
SPLIT code_string AT '|' INTO TABLE code_table.
GENERATE SUBROUTINE POOL code_table NAME calc_prog.
PERFORM calculation IN PROGRAM calc_prog.
...

El programa se comporta bien cuando el parámetro operation es un valor benigno. Sin embargo, si el atacante especifica operaciones de idioma que son válidas y maliciosas al mismo tiempo, dichas operaciones se ejecutarán con todos los privilegios del proceso primario. Estos ataques llegan a ser más peligrosos cuando el código que se inyecta accede a recursos del sistema o ejecuta comandos del sistema. Por ejemplo, si un usuario malintencionado especifica "MOVE 'shutdown -h now' to cmd. CALL 'SYSTEM' ID 'COMMAND' FIELD cmd ID 'TAB' FIELD TABL[]." como valor de operation, se ejecutaría un comando de apagado en el sistema host.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa un calculador básico que permite al usuario especificar los comandos para la ejecución.

...
        var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
        var userOps:String = String(params["operation"]);
        result = ExternalInterface.call("eval", userOps);
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso, a la variable result se le asigna un valor de 22. Sin embargo, si un usuario malintencionado especifica operaciones de lenguaje que son válidas y malintencionadas, dichas operaciones deberían ejecutarse con todos los privilegios del proceso principal. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. En el caso de ActionScript, el atacante podría utilizar esta vulnerabilidad para ejecutar un ataque XSS (Cross-Site Scripting).

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa una calculadora básica que permite al usuario especificar los comandos para la ejecución.

...
    public static object CEval(string sCSCode)
    {
        CodeDomProvider icc = CodeDomProvider.CreateProvider("CSharp"); 
        CompilerParameters cparam = new CompilerParameters();
        cparam.ReferencedAssemblies.Add("system.dll");
        cparam.CompilerOptions = "/t:library";
        cparam.GenerateInMemory = true;

        StringBuilder sb_code = new StringBuilder("");
        sb_code.Append("using System;\n");
        sb_code.Append("namespace Fortify_CodeEval{ \n");
        sb_code.Append("public class FortifyCodeEval{ \n");
        sb_code.Append("public object EvalCode(){\n");
        sb_code.Append(sCSCode + "\n");
        sb_code.Append("} \n");
        sb_code.Append("} \n");
        sb_code.Append("}\n");

        CompilerResults cr = icc.CompileAssemblyFromSource(cparam, sb_code.ToString());
        if (cr.Errors.Count > 0)
        {
            logger.WriteLine("ERROR: " + cr.Errors[0].ErrorText);
            return null;
        }

        System.Reflection.Assembly a = cr.CompiledAssembly;
        object o = a.CreateInstance("Fortify_CodeEval.FortifyCodeEval");

        Type t = o.GetType();
        MethodInfo mi = t.GetMethod("EvalCode");

        object s = mi.Invoke(o, null);
        return s;
    }
...

El programa se comporta correctamente cuando el parámetro sCSCode es un valor benigno, como "return 8 + 7 * 2", en cuyo caso 22 es el valor de devolución de la función CEval. Sin embargo, si el atacante especifica operaciones de idioma que son válidas y maliciosas al mismo tiempo, dichas operaciones se ejecutarán con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. Por ejemplo, .Net permite invocar las API de Windows. Si un atacante especifica "return System.Diagnostics.Process.Start(\"shutdown\", \"/s /t 0\");" como el valor de operation, se ejecutará un comando de apagado en el sistema host.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa una calculadora básica que permite al usuario especificar los comandos para la ejecución.

...
	userOp = form.operation.value;
	calcResult = eval(userOp);
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso la variable calcResult se asigna a un valor de 22. No obstante, si un atacante especifica operaciones de idiomas que sean tanto válidas como maliciosas, estas operaciones se ejecutarían con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. En el caso de JavaScript, el atacante puede utilizar esta vulnerabilidad para realizar un ataque de secuencias entre sitios.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: el siguiente código utiliza la entrada de un UITextField para cambiar dinámicamente el color de fondo del contenido de una WKWebView:

...
@property (strong, nonatomic) WKWebView *webView;
@property (strong, nonatomic) UITextField *inputTextField;
...
[_webView evaluateJavaScript:[NSString stringWithFormat:@"document.body.style.backgroundColor="%@";", _inputTextField.text] completionHandler:nil];
...

El programa se comporta de forma correcta cuando la entrada de UITextField es un valor benigno, como "blue", en cuyo caso el elemento <body> de webView debería tener como estilo un fondo azul. Sin embargo, si un usuario malintencionado proporciona una entrada malintencionada todavía válida, podría ser capaz de ejecutar código JavaScript arbitrario. Por ejemplo, dado que JavaScript puede obtener acceso a determinado tipo de información privada, como las cookies, si un usuario malintencionado especificara "white";document.body.innerHTML=document.cookie;"" como entrada de UITextField, la información de cookie se escribiría en la página de manera visible. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema, como cuando el código inyectado se ejecuta con todos los privilegios del proceso primario.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa un calculador básico que permite al usuario especificar los comandos para la ejecución.

...
	$userOps = $_GET['operation'];
	$result = eval($userOps);
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso a la variable result se le asigna un valor de 22. No obstante, si un atacante especifica operaciones de idiomas que sean tanto válidas como maliciosas, estas operaciones se ejecutarían con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. Por ejemplo, si un usuario malintencionado especificara "exec('shutdown -h now')" como el valor de operation, se ejecutaría en el sistema host un comando de apagado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: en este ejemplo de inyección de código clásico, la aplicación implementa un calculador básico que permite al usuario especificar los comandos para la ejecución.

...
userOps = request.GET['operation']
result = eval(userOps)
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso a la variable result se le asigna un valor de 22. No obstante, si un atacante especifica operaciones de idiomas que sean tanto válidas como maliciosas, estas operaciones se ejecutarían con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. Por ejemplo, si un usuario malintencionado especificara "os.system('shutdown -h now')" como el valor de operation, se ejecutaría en el sistema host un comando de apagado.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.
Ejemplo: en este ejemplo de inyección de código, la aplicación implementa un calculador básico que permite al usuario especificar comandos para ejecutarlos.

...
  user_ops = req['operation']
  result = eval(user_ops)
...

El programa se comporta correctamente cuando el parámetro operation es un valor benigno, como "8 + 7 * 2", en cuyo caso la variable result se asigna a un valor de 22. No obstante, si un atacante especifica operaciones de idiomas que sean tanto válidas como maliciosas, estas operaciones se ejecutarían con todos los privilegios del proceso primario. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema. Con Ruby esto se permite y, dado que se pueden ejecutar varios comandos delimitando las líneas con un punto y coma (;), también habilitaría la ejecución de múltiples comandos con una sola inyección, sin romper el programa por ello.
Si un usuario malintencionado enviara para el parámetro operation "system(\"nc -l 4444 &\");8+7*2", se abriría el puerto 4444 para escuchar una conexión en el equipo y seguiría devolviendo el valor de 22 a result

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad permite a los programadores realizar instrucciones dinámicas basadas en la entrada recibida del usuario. Las vulnerabilidades de inyección de código se producen cuando el programador supone de forma incorrecta que las instrucciones que se proporcionan directamente desde el usuario llevarán a cabo inocentes operaciones, tales como realizar cálculos sencillos en los objetos del usuario activo o modificando de otro modo el estado de este. Sin embargo, sin una validación adecuada, un usuario podría especificar operaciones que el programador no tiene intención de realizar.

Ejemplo: El siguiente código utiliza la entrada de un UITextField para cambiar dinámicamente el color de fondo del contenido de una WKWebView:

...
var webView : WKWebView
var inputTextField : UITextField
...
webView.evaluateJavaScript("document.body.style.backgroundColor="\(inputTextField.text)";" completionHandler:nil)
...

El programa se comporta de forma correcta cuando la entrada de UITextField es un valor benigno, como "blue", en cuyo caso el elemento <body> de webView debería tener como estilo un fondo azul. Sin embargo, si un usuario malintencionado proporciona una entrada malintencionada todavía válida, podría ser capaz de ejecutar código JavaScript arbitrario. Por ejemplo, dado que JavaScript puede obtener acceso a determinado tipo de información privada, como las cookies, si un usuario malintencionado especificara "white";document.body.innerHTML=document.cookie;"" como entrada de UITextField, la información de cookie se escribiría en la página de manera visible. Estos ataques son incluso más peligrosos cuando el lenguaje subyacente proporciona acceso a los recursos del sistema o permite la ejecución de comandos del sistema, como cuando el código inyectado se ejecuta con todos los privilegios del proceso primario.

Muchos lenguajes modernos permiten una interpretación dinámica de las instrucciones de código fuente. Esta capacidad se puede utilizar cuando el programador necesita llevar a cabo las instrucciones que el usuario proporciona en los datos, pero debería utilizar las construcciones de lenguaje subyacente en lugar de implementar código para interpretar la entrada del usuario. Las instrucciones que proporciona el usuario deben ser operaciones sencillas tales como cálculos pequeños en objetos de usuario activo, la modificación del estado de los objetos de usuario, etc. Sin embargo, si un programador no tiene cuidado, un usuario puede especificar operaciones que queden fuera de las intenciones del programador.

Ejemplo: la calculadora es un ejemplo clásico de aplicación que permite al usuario especificar construcciones de programación subyacentes. El siguiente código ASP acepta que las operaciones matemáticas básicas del usuario se calculen y se devuelvan resultados:

...
	strUserOp = Request.Form('operation')
	strResult = Eval(strUserOp)
...

El comportamiento esperado del programa se retiene en un ejemplo donde el parámetro operation es "8 + 7 * 2". La variable strResult devuelve un valor de 22. Sin embargo, si un usuario especifica otras operaciones de lenguaje válidas, esas no solo se ejecutan, sino que lo hacen con todos los privilegios del proceso principal. La ejecución de código arbitraria será más peligrosa cuando el lenguaje subyacente proporcione acceso a los recursos del sistema o permita la ejecución de comandos del sistema. Por ejemplo, si un usuario malintencionado especifica operation como " Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')" se ejecutaría un comando de apagado en el sistema host.