...
* Default username for FTP connection is "scott"
* Default password for FTP connection is "tiger"
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
* Default username for database connection is "scott"
* Default password for database connection is "tiger"
...
...
<!-- Default username for database connection is "scott" -->
<!-- Default password for database connection is "tiger" -->
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
-- Default username for database connection is "scott"
-- Default password for database connection is "tiger"
...
...
# Default username for database connection is "scott"
# Default password for database connection is "tiger"
...
...
#Default username for database connection is "scott"
#Default password for database connection is "tiger"
...
...
// Default username for database connection is "scott"
// Default password for database connection is "tiger"
...
...
'Default username for database connection is "scott"
'Default password for database connection is "tiger"
...
response.sendRedirect("j_security_check?j_username="+usr+"&j_password="+pass);
...
var fs:FileStream = new FileStream();
fs.open(new File("config.properties"), FileMode.READ);
var decoder:Base64Decoder = new Base64Decoder();
decoder.decode(fs.readMultiByte(fs.bytesAvailable, File.systemCharset));
var password:String = decoder.toByteArray().toString();
URLRequestDefaults.setLoginCredentialsForHost(hostname, usr, password);
...
config.properties puede leer el valor de password y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
...
string value = regKey.GetValue(passKey).ToString());
byte[] decVal = Convert.FromBase64String(value);
NetworkCredential netCred =
new NetworkCredential(username,decVal.toString(),domain);
...
password. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
...
RegQueryValueEx(hkey, TEXT(.SQLPWD.), NULL,
NULL, (LPBYTE)password64, &size64);
Base64Decode(password64, size64, (BYTE*)password, &size);
rc = SQLConnect(*hdbc, server, SQL_NTS, uid,
SQL_NTS, password, SQL_NTS);
...
password64 y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
...
01 RECORDX.
05 UID PIC X(10).
05 PASSWORD PIC X(10).
05 LEN PIC S9(4) COMP.
...
EXEC CICS
READ
FILE('CFG')
INTO(RECORDX)
RIDFLD(ACCTNO)
...
END-EXEC.
CALL "g_base64_decode_inplace" using
BY REFERENCE PASSWORD
BY REFERENCE LEN
ON EXCEPTION
DISPLAY "Requires GLib library" END-DISPLAY
END-CALL.
EXEC SQL
CONNECT :UID
IDENTIFIED BY :PASSWORD
END-EXEC.
...
CFG puede leer el valor de la contraseña y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
...
file, _ := os.Open("config.json")
decoder := json.NewDecoder(file)
decoder.Decode(&values)
password := base64.StdEncoding.DecodeString(values.Password)
request.SetBasicAuth(values.Username, password)
...
config.json podrá leer el valor de password y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
...
Properties prop = new Properties();
prop.load(new FileInputStream("config.properties"));
String password = Base64.decode(prop.getProperty("password"));
DriverManager.getConnection(url, usr, password);
...
config.properties puede leer el valor de password y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
...
webview.setWebViewClient(new WebViewClient() {
public void onReceivedHttpAuthRequest(WebView view,
HttpAuthHandler handler, String host, String realm) {
String[] credentials = view.getHttpAuthUsernamePassword(host, realm);
String username = new String(Base64.decode(credentials[0], DEFAULT));
String password = new String(Base64.decode(credentials[1], DEFAULT));
handler.proceed(username, password);
}
});
...
...
obj = new XMLHttpRequest();
obj.open('GET','/fetchusers.jsp?id='+form.id.value,'true','scott','tiger');
...
plist y la utiliza para descomprimir un archivo protegido con contraseña.
...
NSDictionary *dict= [NSDictionary dictionaryWithContentsOfFile:[[NSBundle mainBundle] pathForResource:@"Config" ofType:@"plist"]];
NSString *encoded_password = [dict valueForKey:@"encoded_password"];
NSData *decodedData = [[NSData alloc] initWithBase64EncodedString:encoded_password options:0];
NSString *decodedString = [[NSString alloc] initWithData:decodedData encoding:NSUTF8StringEncoding];
[SSZipArchive unzipFileAtPath:zipPath toDestination:destPath overwrite:TRUE password:decodedString error:&error];
...
Config.plist puede leer el valor de encoded_password y determinar fácilmente que el valor se ha establecido con la codificación base64.
...
$props = file('config.properties', FILE_IGNORE_NEW_LINES | FILE_SKIP_EMPTY_LINES);
$password = base64_decode($props[0]);
$link = mysql_connect($url, $usr, $password);
if (!$link) {
die('Could not connect: ' . mysql_error());
}
...
config.properties puede leer el valor de password y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
...
props = os.open('config.properties')
password = base64.b64decode(props[0])
link = MySQLdb.connect (host = "localhost",
user = "testuser",
passwd = password,
db = "test")
...
config.properties puede leer el valor de password y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
require 'pg'
require 'base64'
...
passwd = Base64.decode64(ENV['PASSWD64'])
...
conn = PG::Connection.new(:dbname => "myApp_production", :user => username, :password => passwd, :sslmode => 'require')
PASSWD64 y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
...
val prop = new Properties();
prop.load(new FileInputStream("config.properties"));
val password = Base64.decode(prop.getProperty("password"));
DriverManager.getConnection(url, usr, password);
...
config.properties puede leer el valor de password y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.plist y la utiliza para descomprimir un archivo protegido con contraseña.
...
var myDict: NSDictionary?
if let path = NSBundle.mainBundle().pathForResource("Config", ofType: "plist") {
myDict = NSDictionary(contentsOfFile: path)
}
if let dict = myDict {
let password = base64decode(dict["encoded_password"])
zipArchive.unzipOpenFile(zipPath, password:password])
}
...
Config.plist puede leer el valor de encoded_password y determinar fácilmente que el valor se ha establecido con la codificación base64.
...
root:qFio7llfVKk.s:19033:0:99999:7:::
...
...
...
Private Declare Function GetPrivateProfileString _
Lib "kernel32" Alias "GetPrivateProfileStringA" _
(ByVal lpApplicationName As String, _
ByVal lpKeyName As Any, ByVal lpDefault As String, _
ByVal lpReturnedString As String, ByVal nSize As Long, _
ByVal lpFileName As String) As Long
...
Dim password As String
...
password = StrConv(DecodeBase64(GetPrivateProfileString("MyApp", "Password", _
"", value, Len(value), _
App.Path & "\" & "Config.ini")), vbUnicode)
...
con.ConnectionString = "Driver={Microsoft ODBC for Oracle};Server=OracleServer.world;Uid=scott;Passwd=" & password &";"
...
Config.ini puede leer el valor de Password y determinar fácilmente que el valor se ha establecido con la codificación base64. Un empleado malintencionado con acceso a esta información puede utilizarla para irrumpir en el sistema.
String password=request.getParameter("password");
...
DefaultUser user = (DefaultUser) ESAPI.authenticator().createUser(username, password, password);
...
*Get the report that is to be deleted
r_name = request->get_form_field( 'report_name' ).
CONCATENATE `C:\\users\\reports\\` r_name INTO dsn.
DELETE DATASET dsn.
...
..\\..\\usr\\sap\\DVEBMGS00\\exe\\disp+work.exe", la aplicación eliminará un archivo crítico e inmediatamente se bloqueará el sistema SAP.
...
PARAMETERS: p_date TYPE string.
*Get the invoice file for the date provided
CALL FUNCTION 'FILE_GET_NAME'
EXPORTING
logical_filename = 'INVOICE'
parameter_1 = p_date
IMPORTING
file_name = v_file
EXCEPTIONS
file_not_found = 1
OTHERS = 2.
IF sy-subrc <> 0.
* Implement suitable error handling here
ENDIF.
OPEN DATASET v_file FOR INPUT IN TEXT MODE.
DO.
READ DATASET v_file INTO v_record.
IF SY-SUBRC NE 0.
EXIT.
ELSE.
WRITE: / v_record.
ENDIF.
ENDDO.
...
..\\..\\usr\\sap\\sys\\profile\\default.pfl" en lugar de una fecha válida, la aplicación revelará la configuración predeterminada de todos los parámetros del perfil de servidor de aplicaciones de SAP, lo que posiblemente conduciría a ataques más sofisticados.../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: el siguiente código utiliza la entrada desde un archivo de configuración para determinar qué archivo abrir y escribir en una consola de depuración o en un archivo de registro. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos podrán utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
var rName:String = String(params["reportName"]);
var rFile:File = new File("/usr/local/apfr/reports/" + rName);
...
rFile.deleteFile();
.txt.
var fs:FileStream = new FileStream();
fs.open(new File(String(configStream.readObject())+".txt"), FileMode.READ);
fs.readBytes(arr);
trace(arr);
public class MyController {
...
public PageRerference loadRes() {
PageReference ref = ApexPages.currentPage();
Map<String,String> params = ref.getParameters();
if (params.containsKey('resName')) {
if (params.containsKey('resPath')) {
return PageReference.forResource(params.get('resName'), params.get('resPath'));
}
}
return null;
}
}
..\\..\\Windows\\System32\\krnl386.exe", lo que hará que la aplicación elimine un archivo importante del sistema de Windows.Ejemplo 2: el siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y reenviar al usuario. Si el programa se ejecuta con privilegios adecuados y los usuarios malintencionados pueden modificar el archivo de configuración, estos podrán utilizar el programa para leer cualquier archivo del sistema que termine con la extensión ".txt".
String rName = Request.Item("reportName");
...
File.delete("C:\\users\\reports\\" + rName);
sr = new StreamReader(resmngr.GetString("sub")+".txt");
while ((line = sr.ReadLine()) != null) {
Console.WriteLine(line);
}
../../apache/conf/httpd.conf", que provocará que la aplicación elimine el archivo de configuración especificado.Ejemplo 2: el código siguiente utiliza entrada de la línea de comandos para determinar qué archivo abrir y reenviar al usuario. Si el programa se ejecuta con privilegios adecuados y los usuarios malintencionados pueden crear vínculos simbólicos al archivo, estos también pueden usar el programa para leer la primera parte de cualquier archivo del sistema.
char* rName = getenv("reportName");
...
unlink(rName);
ifstream ifs(argv[0]);
string s;
ifs >> s;
cout << s;
...
EXEC CICS
WEB READ
FORMFIELD(FILE)
VALUE(FILENAME)
...
END-EXEC.
EXEC CICS
READ
FILE(FILENAME)
INTO(RECORD)
RIDFLD(ACCTNO)
UPDATE
...
END-EXEC.
...
..\\..\\Windows\\System32\\krnl386.exe", lo que hará que la aplicación elimine un archivo importante del sistema de Windows.
<cffile action = "delete"
file = "C:\\users\\reports\\#Form.reportName#">
final server = await HttpServer.bind('localhost', 18081);
server.listen((request) async {
final headers = request.headers;
final path = headers.value('path');
File(path!).delete();
}
Example 1, no se valida headers.value('path') antes de llevar a cabo las funciones de eliminación en archivos.../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: El siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y devolver al usuario. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos pueden utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
rName := "/usr/local/apfr/reports/" + req.FormValue("fName")
rFile, err := os.OpenFile(rName, os.O_RDWR|os.O_CREATE, 0755)
defer os.Remove(rName);
defer rFile.Close()
...
.txt.
...
config := ReadConfigFile()
filename := config.fName + ".txt";
data, err := ioutil.ReadFile(filename)
...
fmt.Println(string(data))
../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: el siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y reenviar al usuario. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos podrán utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
String rName = request.getParameter("reportName");
File rFile = new File("/usr/local/apfr/reports/" + rName);
...
rFile.delete();
.txt.
fis = new FileInputStream(cfg.getProperty("sub")+".txt");
amt = fis.read(arr);
out.println(arr);
Example 1 a la plataforma Android.
...
String rName = this.getIntent().getExtras().getString("reportName");
File rFile = getBaseContext().getFileStreamPath(rName);
...
rFile.delete();
...
../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: el código siguiente utiliza entrada del almacenamiento local para determinar qué archivo abrir y devolver al usuario. Si los usuarios maliciosos pueden cambiar el contenido del almacenamiento local, pueden utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
...
var reportNameParam = "reportName=";
var reportIndex = document.indexOf(reportNameParam);
if (reportIndex < 0) return;
var rName = document.URL.substring(reportIndex+reportNameParam.length);
window.requestFileSystem(window.TEMPORARY, 1024*1024, function(fs) {
fs.root.getFile('/usr/local/apfr/reports/' + rName, {create: false}, function(fileEntry) {
fileEntry.remove(function() {
console.log('File removed.');
}, errorHandler);
}, errorHandler);
}, errorHandler);
.txt.
...
var filename = localStorage.sub + '.txt';
function oninit(fs) {
fs.root.getFile(filename, {}, function(fileEntry) {
fileEntry.file(function(file) {
var reader = new FileReader();
reader.onloadend = function(e) {
var txtArea = document.createElement('textarea');
txtArea.value = this.result;
document.body.appendChild(txtArea);
};
reader.readAsText(file);
}, errorHandler);
}, errorHandler);
}
window.requestFileSystem(window.TEMPORARY, 1024*1024, oninit, errorHandler);
...
../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: El siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y devolver al usuario. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos pueden utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
val rName: String = request.getParameter("reportName")
val rFile = File("/usr/local/apfr/reports/$rName")
...
rFile.delete()
.txt.
fis = FileInputStream(cfg.getProperty("sub").toString() + ".txt")
amt = fis.read(arr)
out.println(arr)
Example 1 a la plataforma Android.
...
val rName: String = getIntent().getExtras().getString("reportName")
val rFile: File = getBaseContext().getFileStreamPath(rName)
...
rFile.delete()
...
- (NSData*) testFileManager {
NSString *rootfolder = @"/Documents/";
NSString *filePath = [rootfolder stringByAppendingString:[fileName text]];
NSFileManager *fm = [NSFileManager defaultManager];
return [fm contentsAtPath:filePath];
}
../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: el siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y reenviar al usuario. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos podrán utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
$rName = $_GET['reportName'];
$rFile = fopen("/usr/local/apfr/reports/" . rName,"a+");
...
unlink($rFile);
.txt.
...
$filename = $CONFIG_TXT['sub'] . ".txt";
$handle = fopen($filename,"r");
$amt = fread($handle, filesize($filename));
echo $amt;
...
../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: el siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y reenviar al usuario. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos podrán utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
rName = req.field('reportName')
rFile = os.open("/usr/local/apfr/reports/" + rName)
...
os.unlink(rFile);
.txt.
...
filename = CONFIG_TXT['sub'] + ".txt";
handle = os.open(filename)
print handle
...
../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: el siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y reenviar al usuario. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos podrán utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
rName = req['reportName']
File.delete("/usr/local/apfr/reports/#{rName}")
.txt.
...
fis = File.new("#{cfg.getProperty("sub")}.txt")
amt = fis.read
puts amt
../../tomcat/conf/server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: el siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y reenviar al usuario. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos podrán utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
def readFile(reportName: String) = Action { request =>
val rFile = new File("/usr/local/apfr/reports/" + reportName)
...
rFile.delete()
}
.txt.
val fis = new FileInputStream(cfg.getProperty("sub")+".txt")
val amt = fis.read(arr)
out.println(arr)
func testFileManager() -> NSData {
let filePath : String = "/Documents/\(fileName.text)"
let fm : NSFileManager = NSFileManager.defaultManager()
return fm.contentsAtPath(filePath)
}
..\conf\server.xml", lo que podría causar que la aplicación eliminase uno de sus propios archivos de configuración.Ejemplo 2: el siguiente código utiliza una entrada de un archivo de configuración para determinar el archivo que se debe abrir y reenviar al usuario. Si el programa se ejecuta con los privilegios adecuados y los usuarios malintencionados pueden cambiar el archivo de configuración, estos podrán utilizar el programa para leer cualquier archivo del sistema que termine con la extensión
Dim rName As String
Dim fso As New FileSystemObject
Dim rFile as File
Set rName = Request.Form("reportName")
Set rFile = fso.GetFile("C:\reports\" & rName)
...
fso.DeleteFile("C:\reports\" & rName)
...
.txt.
Dim fileName As String
Dim tsContent As String
Dim ts As TextStream
Dim fso As New FileSystemObject
fileName = GetPrivateProfileString("MyApp", "sub", _
"", value, Len(value), _
App.Path & "\" & "Config.ini")
...
Set ts = fso.OpenTextFile(fileName,1)
tsContent = ts.ReadAll
Response.Write tsContent
...
Path.Combine utiliza varias rutas de archivos como argumentos. Las concatena para obtener la ruta completa, lo cual habitualmente viene seguido de una llamada a read() o write() para ese archivo. La documentación describe varios escenarios distintos según si el primer parámetro o los restantes son rutas absolutas. Si se proporciona una ruta absoluta para el segundo parámetro o los restantes, Path.Combine() devolverá esa ruta absoluta. Los parámetros anteriores se ignorarán. Las implicaciones en este caso son significativas para aplicaciones que tienen código similar al ejemplo siguiente.
// Called with user-controlled data
public static bytes[] getFile(String filename)
{
String imageDir = "\\FILESHARE\images\";
filepath = Path.Combine(imageDir, filename);
return File.ReadAllBytes(filepath);
}
C:\\inetpub\wwwroot\web.config), un atacante puede controlar qué archivo devuelve la aplicación.
...
" Add Binary File to
CALL METHOD lr_abap_zip->add
EXPORTING
name = p_ifile
content = lv_bufferx.
" Read Binary File to
CALL METHOD lr_abap_zip->get
EXPORTING
name = p_ifile
IMPORTING
content = lv_bufferx2.
...
Example 1, no se valida p_ifile antes de llevar a cabo las funciones de lectura/escritura en los datos de la entrada. Si el archivo ZIP se encontró originalmente en el directorio "/tmp/" de un equipo basado en Unix, una entrada ZIP era "../etc/hosts" y la aplicación se ejecutó con los permisos necesarios, se sobrescribe el archivo hosts del sistema. A su vez, esto permite que el tráfico del equipo vaya donde el usuario malintencionado desea, por ejemplo, a su propio equipo.
public static void UnzipFile(ZipArchive archive, string destDirectory)
{
foreach (var entry in archive.Entries)
{
string file = entry.FullName;
if (!string.IsNullOrEmpty(file))
{
string destFileName = Path.Combine(destDirectory, file);
entry.ExtractToFile(destFileName, true);
}
}
}
Example 1, no se valida entry.FullName antes de llevar a cabo las operaciones de lectura/escritura en los datos de la entrada. Si el archivo zip se colocase originalmente en el directorio "C:\TEMP", un nombre de entrada de zip incluyera "segmentos ..\" y la aplicación se ejecutase con los permisos necesarios, dicho archivo podría sobrescribir de forma arbitraria algunos archivos de sistema.
func Unzip(src string, dest string) ([]string, error) {
var filenames []string
r, err := zip.OpenReader(src)
if err != nil {
return filenames, err
}
defer r.Close()
for _, f := range r.File {
// Store filename/path for returning and using later on
fpath := filepath.Join(dest, f.Name)
filenames = append(filenames, fpath)
if f.FileInfo().IsDir() {
// Make Folder
os.MkdirAll(fpath, os.ModePerm)
continue
}
// Make File
if err = os.MkdirAll(filepath.Dir(fpath), os.ModePerm); err != nil {
return filenames, err
}
outFile, err := os.OpenFile(fpath, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
if err != nil {
return filenames, err
}
rc, err := f.Open()
if err != nil {
return filenames, err
}
_, err = io.Copy(outFile, rc)
// Close the file without defer to close before next iteration of loop
outFile.Close()
rc.Close()
if err != nil {
return filenames, err
}
}
return filenames, nil
}
Example 1, no se valida f.Name antes de llevar a cabo las funciones de lectura/escritura en los datos de la entrada. Si el archivo zip se encontrase originalmente en el directorio "/tmp/" de un equipo basado en Unix, una entrada zip fuese "../etc/hosts" y la aplicación se ejecutase con los permisos necesarios, se sobrescribiría el archivo hosts del sistema. A su vez, esto permitiría que el tráfico del equipo fuese donde el usuario malintencionado desease, por ejemplo, a su propio equipo.
private static final int BUFSIZE = 512;
private static final int TOOBIG = 0x640000;
...
public final void unzip(String filename) throws IOException {
FileInputStream fis = new FileInputStream(filename);
ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis));
ZipEntry zipEntry = null;
int numOfEntries = 0;
long total = 0;
try {
while ((zipEntry = zis.getNextEntry()) != null) {
byte data[] = new byte[BUFSIZE];
int count = 0;
String outFileName = zipEntry.getName();
if (zipEntry.isDirectory()){
new File(outFileName).mkdir(); //create the new directory
continue;
}
FileOutputStream outFile = new FileOutputStream(outFileName);
BufferedOutputStream dest = new BufferedOutputStream(outFile, BUFSIZE);
//read data from Zip, but do not read huge entries
while (total + BUFSIZE <= TOOBIG && (count = zis.read(data, 0, BUFSIZE)) != -1) {
dest.write(data, 0, count);
total += count;
}
...
}
} finally{
zis.close();
}
}
...
Example 1, no se valida zipEntry.getName() antes de llevar a cabo las funciones de lectura/escritura en los datos de la entrada. Si el archivo zip se encontrase originalmente en el directorio "/tmp/" de un equipo basado en Unix, una entrada zip fuese "../etc/hosts" y la aplicación se ejecutase con los permisos necesarios, se sobrescribiría el archivo hosts del sistema. A su vez, esto permitiría que el tráfico del equipo fuese donde el usuario malintencionado desease, por ejemplo, a su propio equipo.
var unzipper = require('unzipper');
var fs = require('fs');
var untrusted_zip = getZipFromRequest();
fs.createReadStream(zipPath).pipe(unzipper.Extract({ path: 'out' }));
ZZArchive* archive = [ZZArchive archiveWithURL:[NSURL fileURLWithPath: zipPath] error:&error];
for (ZZArchiveEntry* entry in archive.entries) {
NSString *fullPath = [NSString stringWithFormat: @"%@/%@", destPath, [entry fileName]];
[[entry newDataWithError:nil] writeToFile:newFullPath atomically:YES];
}
Example 1, no se valida entry.fileName antes de llevar a cabo las funciones de lectura/escritura en los datos de la entrada. Si el archivo zip se encontrase originalmente en el directorio "Documents/hot_patches" de una aplicación iOS, y una entrada ZIP fuese "../js/page.js", dicho archivo podría sobrescribir el archivo page.js. Esto, a su vez, permitiría al atacante inyectar código malicioso que podría dar lugar a la ejecución de código.
...
$zip = new ZipArchive();
$zip->open("userdefined.zip", ZipArchive::RDONLY);
$zpm = $zip->getNameIndex(0);
$zip->extractTo($zpm);
...
Example 1, no se valida f.Name antes de llevar a cabo las funciones de lectura/escritura en los datos de la entrada. Si el archivo zip se encuentra en el directorio "/tmp/" de un equipo basado en Unix, una entrada ZIP es "../etc/hosts" y la aplicación se ejecuta con los permisos necesarios, se sobrescribirá el archivo hosts del sistema. Esto permite que el tráfico del equipo vaya donde el usuario malintencionado desea, por ejemplo, a su propio equipo.
import zipfile
import tarfile
def unzip(archive_name):
zf = zipfile.ZipFile(archive_name)
zf.extractall(".")
zf.close()
def untar(archive_name):
tf = tarfile.TarFile(archive_name)
tf.extractall(".")
tf.close()
Ejemplo 2: El siguiente ejemplo extrae archivos de un archivo zip y los escribe en el disco de forma insegura.
import better.files._
...
val zipPath: File = getUntrustedZip()
val destinationPath = file"out/dest"
zipPath.unzipTo(destination = destinationPath)
import better.files._
...
val zipPath: File = getUntrustedZip()
val destinationPath = file"out/dest"
zipPath.newZipInputStream.mapEntries( (entry : ZipEntry) => {
entry.extractTo(destinationPath, new FileInputStream(entry.getName))
})
Example 2, no se valida entry.getName antes de llevar a cabo las funciones de lectura/escritura en los datos de la entrada. Si el archivo zip se encontrase originalmente en el directorio "/tmp/" de un equipo basado en Unix, una entrada zip fuese "../etc/hosts" y la aplicación se ejecutase con los permisos necesarios, se sobrescribiría el archivo hosts del sistema. A su vez, esto permitiría que el tráfico del equipo fuese donde el usuario malintencionado desease, por ejemplo, a su propio equipo.
let archive = try ZZArchive.init(url: URL(fileURLWithPath: zipPath))
for entry in archive.entries {
let fullPath = URL(fileURLWithPath: destPath + "/" + entry.fileName)
try entry.newData().write(to: fullPath)
}
Example 1, no se valida entry.fileName antes de llevar a cabo las funciones de lectura/escritura en los datos de la entrada. Si el archivo zip se encontrase originalmente en el directorio "Documents/hot_patches" de una aplicación iOS, y una entrada ZIP fuese "../js/page.js", dicho archivo podría sobrescribir el archivo page.js. Esto, a su vez, permitiría al atacante inyectar código malicioso que podría dar lugar a la ejecución de código.
pass = getPassword();
...
dbmsLog.println(id+":"+pass+":"+type+":"+tstamp);
Example 1 registra una contraseña de texto sin formato en el sistema de archivos. Aunque muchos desarrolladores confían en el sistema de archivos como una ubicación segura de almacenamiento para los datos, el usuario no debería confiar absolutamente, en especial, cuando la privacidad es una preocupación.
...
webview.setWebViewClient(new WebViewClient() {
public void onReceivedHttpAuthRequest(WebView view,
HttpAuthHandler handler, String host, String realm) {
String[] credentials = view.getHttpAuthUsernamePassword(host, realm);
String username = credentials[0];
String password = credentials[1];
Intent i = new Intent();
i.setAction("SEND_CREDENTIALS");
i.putExtra("username", username);
i.putExtra("password", password);
view.getContext().sendBroadcast(i);
}
});
...
SEND_CREDENTIALS recibirá el mensaje. La difusión ni siquiera está protegida con un permiso para limitar el número de destinatarios, aunque en este caso no recomendamos el uso de permisos como solución.FileIOPermissions necesarios en la aplicación.
...
String permissionsXml = GetPermissionsFromXmlFile();
FileIOPermission perm = new FileIOPermission(PermissionState.None);
perm.FromXml(permissionsXml);
perm.Demand();
...
...
CrytoKeyAuditRule auditRule = new CryptoKeyAuditRule(IdRef, (CryptoKeyRights) input, AuditFlags.Success);
...
input, podrá especificar el tipo de operación que se registrará. Si el usuario puede manipular esto para CryptoKeyRights.Delete, podrá leer la clave de cifrado sin que se lo registre, por lo que no quedará constancia de que un usuario malintencionado haya robado las claves de cifrado.allow_url_fopen permite funciones de PHP que aceptan un nombre de archivo para trabajar con archivos remotos mediante una URL HTTP o FTP. Esta opción, que se introdujo en PHP 4.0.4 y se encuentra activada de forma predeterminada, es peligrosa porque puede permitir a los atacantes introducir contenido malintencionado en una aplicación. En el mejor de los casos, trabajar con archivos remotos hace que la aplicación sea susceptible de ataques que alteran el archivo remoto para incluir contenido malintencionado. En el peor de los casos, si los atacantes pueden controlar una URL con la que trabaja la aplicación, pueden introducir contenido malintencionado arbitrario en la aplicación suministrando una URL a un servidor remoto. $file se controla mediante un parámetro de solicitud, un atacante podría burlar las suposiciones del programador suministrando una URL a un archivo remoto.
<?php
$file = fopen ($_GET["file"], "r");
if (!$file) {
// handle errors
}
while (!feof ($file)) {
$line = fgets ($file, 1024);
// operate on file content
}
fclose($file);
?>
allow_url_include permite funciones de PHP que especifican un archivo para que se incluya en la página actual, como include() y require(), y acepte una URL HTTP o FTP a un archivo remoto. Esta opción, que se introdujo en PHP 5.2.0 y se encuentra desactivada de forma predeterminada, es peligrosa porque puede permitir a los atacantes introducir contenido malintencionado en una aplicación. En el mejor de los casos, incluir archivos remotos hace que la aplicación sea susceptible de ataques que alteran el archivo remoto para incluir contenido malintencionado. En el peor de los casos, si los atacantes pueden controlar una URL que la aplicación utiliza para especificar el archivo remoto que se debe incluir, pueden introducir contenido malintencionado arbitrario en la aplicación suministrando una URL a un servidor remoto.cgi.force_redirect, que está activada de forma predeterminada, se encuentra desactivada, los atacantes con acceso a /cgi-bin/php pueden utilizar los permisos del intérprete de PHP para acceder a documentos web arbitrarios, con lo que estarían burlando las comprobaciones de control de acceso que realiza el servidor.dl para eludir las restricciones open_basedir.enable_dl permite la carga dinámica de bibliotecas. Estas bibliotecas podrían hacer que un atacante eludiera las restricciones establecidas con la configuración open_basedir y permitirle el acceso a cualquier archivo del sistema.enable_dl puede facilitar a los atacantes el aprovechamiento de otras vulnerabilidades.file_uploads está activada, permite a los usuarios de PHP que carguen archivos arbitrarios al servidor. Permitir a los usuarios que carguen archivos no representa una vulnerabilidad de seguridad en sí misma. Sin embargo, esta función puede permitir distintos ataques dado que brinda a los usuarios malintencionados una vía para introducir datos en el entorno de servidor.
<?php
$udir = 'upload/'; // Relative path under Web root
$ufile = $udir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $ufile)) {
echo "Valid upload received\n";
} else {
echo "Invalid upload rejected\n";
} ?>
open_basedir intenta evitar que los programas PHP operen en archivos fuera de los árboles de directorios especificados en php.ini. Si no se especifican directorios mediante la opción open_basedir, los programas que se ejecutan bajo PHP tienen acceso completo a archivos arbitrarios en el sistema de archivos local, lo que puede permitir a los atacantes leer, escribir o crear archivos a los que no deberían tener acceso.open_basedir puede facilitar a los atacantes la explotación de otras vulnerabilidades.open_basedir es una bendición general para la seguridad, la implementación adolece de una condición de carrera que puede permitir a los atacantes eludir sus restricciones en algunas circunstancias [2]. Existe una condición de carrera de tiempo de comprobación, tiempo de uso (TOCTOU) entre el momento en que PHP realiza la comprobación de permisos de acceso y cuando se abre el archivo. Al igual que con las condiciones de carrera del sistema de archivos en otros lenguajes, esta condición de carrera puede permitir a los atacantes reemplazar un vínculo simbólico a un archivo que pasa una verificación de control de acceso por otro para el cual la prueba fallaría, obteniendo así acceso al archivo protegido.