1464 elementos encontrados

Debilidades

Unreleased Resource: Unmanaged Object

C#/VB.NET/ASP.NET

Abstract

El programa no se ha podido deshacer de un objeto administrado que utiliza recursos del sistema no administrados.

Explanation

El programa no se ha podido deshacer de un objeto administrado que emplea recursos del sistema no administrados.
La incapacidad para deshacerse correctamente de un objeto administrado que utilice recursos del sistema no administrado presenta al menos dos causas habituales:

- Condiciones de error y otras circunstancias excepcionales.
- Confusión en cuanto a la parte del programa responsable de liberar el recurso.

Un pequeño subconjunto de objetos .NET administrados utiliza recursos del sistema no administrados. Es posible que el recopilador de elementos no utilizados de .NET no libere los objetos administrados originales en la forma prevista. Por consiguiente, la aplicación puede quedarse sin memoria disponible, ya que el recopilador de elementos no utilizados no conoce la memoria consumida por los recursos no administrados. La mayoría de los problemas de pérdida de recursos no administrados provocan problemas generales de confiabilidad del software. Sin embargo, si un atacante puede activar de forma intencionada una pérdida de recursos no administrados, es posible que este pueda iniciar un ataque de denegación de servicios agotando el conjunto de recursos no administrados.

Ejemplo 1: el siguiente método crea un objeto de mapa de bits administrado a partir de una secuencia de entrada incomingStream. El mapa de bits se manipula y almacena en la secuencia de salida outgoingStream. Nunca se llama de forma explícita al método Dispose() de incomingBitmap y outgoingBitmap.

Normalmente se puede confiar de forma segura en que el recopilador de elementos no utilizados realizará esta tarea en el momento seguro para los objetos administrados que no utilicen recursos del sistema no administrados. El recopilador de elementos no utilizados llama a Bitmap.Dispose() cuando lo cree conveniente Sin embargo, el objeto Bitmap utiliza pocos recursos del sistema no administrados. Es posible que el recopilador de elementos no utilizados llame a Dispose() antes de que se agote el conjunto de recursos no administrados.


private void processBitmap(Stream incomingStream, Stream outgoingStream, int thumbnailSize)
{
	Bitmap incomingBitmap = (Bitmap)System.Drawing.Image.FromStream(incomingStream);

	bool validBitmap = validateBitmap(incomingBitmap);
	if (!validBitmap)
		throw new ValidationException(incomingBitmap);

	Bitmap outgoingBitmap = new Bitmap(incomingBitmap, new Size(thumbnailSize, thumbnailSize));
	outgoingBitmap.Save(outgoingStream, ImageFormat.Bmp);
}

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 772

[2] Standards Mapping - Common Weakness Enumeration Top 25 2019 [21] CWE ID 772

[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094

[4] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)

[5] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection

[6] Standards Mapping - OWASP Top 10 2004 A9 Application Denial of Service

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.9

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[14] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[15] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[16] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective C.3.3 - Web Software Attack Mitigation

[17] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 404

[18] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP6080 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP6080 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP6080 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP6080 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP6080 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP6080 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP6080 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002400 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002400 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002400 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002400 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002400 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002400 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002400 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002400 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002400 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002400 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002400 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002400 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-002400 CAT II

[41] Standards Mapping - Web Application Security Consortium Version 2.00 Denial of Service (WASC-10)

[42] Standards Mapping - Web Application Security Consortium 24 + 2 Denial of Service

desc.controlflow.dotnet.unreleased_resource_unmanaged_object

Unsafe JNI

Java/JSP

Abstract

El uso inadecuado de la interfaz nativa de Java (JNI, por sus siglas en inglés) puede provocar que las aplicaciones de Java sean vulnerables a los errores de seguridad de otros lenguajes.

Explanation

Los errores de JNI poco segura se producen cuando una aplicación de Java usa JNI para llamar a código escrito en otro lenguaje de programación.
Ejemplo 1: El siguiente código de Java define una clase denominada Echo. La clase declara un método nativo que utiliza C para devolver comandos introducidos en la consola al usuario.


    class Echo {
	public native void runEcho();

	static {
		System.loadLibrary("echo");
		}

	public static void main(String[] args) {
		new Echo().runEcho();
		}
}

El siguiente código C define el método nativo implementado en la clase Echo:


#include <jni.h>
#include "Echo.h" //the java class from Example 1 compiled with javah
#include <stdio.h>

JNIEXPORT void JNICALL
Java_Echo_runEcho(JNIEnv *env, jobject obj)
{
	char buf[64];
	gets(buf);
	printf(buf);
}

Como el ejemplo se ha implementado en Java, es posible que parezca que es inmune a los problemas de memoria como, por ejemplo, las vulnerabilidades de buffer overflow. Aunque Java es eficaz a la hora de proteger las operaciones de memoria, esta protección se amplía a las vulnerabilidades que se producen en el código fuente escrito en otros lenguajes a los que se accede mediante la interfaz nativa de Java. A pesar de las protecciones de memoria ofrecidas en Java, el código C de este ejemplo es vulnerable a un buffer overflow debido a que utiliza gets(), que no realiza ninguna comprobación de límites en su entrada.

El tutorial de Sun Java(TM) ofrece la siguiente descripción de JNI [1]:

La estructura JNI permite al método nativo utilizar objetos de Java del mismo modo que el código de Java. Un método nativo puede crear objetos de Java, incluidas matrices y cadenas, y, a continuación, inspeccionar y usar estos objetos para realizar sus tareas. Un método nativo también puede inspeccionar y utilizar objetos creados por el código de aplicación de Java. Un método nativo puede incluso actualizar objetos de Java que este haya creado o que se hayan transferido al mismo; estos objetos actualizados están disponibles en la aplicación de Java. Por consiguiente, tanto la parte de lenguaje nativo como de Java de una aplicación pueden crear y actualizar objetos de Java, además de acceder a ellos, y, continuación, compartir estos objetos entre ellas.

La vulnerabilidad presente en el Example 1 podría detectarse fácilmente a través de una auditoría de código fuente de la implementación del método nativo. Es posible que esto no resulte factible o práctico en función de la disponibilidad del código fuente de C y el modo en que se ha creado el proyecto, aunque en la mayoría de los casos será suficiente. Sin embargo, la capacidad para compartir objetos entre los métodos de Java y nativos eleva el riesgo potencial a casos mucho más insidiosos en los que una administración inadecuada de los datos en Java puede provocar vulnerabilidades inesperadas en el código nativo u operaciones poco seguras en las estructuras de datos dañados del código nativo en Java.

Las vulnerabilidades del código nativo al que se accede mediante una aplicación de Java se suelen explotar del mismo modo que en las aplicaciones escritas en el lenguaje nativo. El único desafío frente a un ataque de este tipo es que el usuario malintencionado identifique la aplicación de Java que utiliza código nativo para realizar determinadas operaciones. Esto se puede lograr de diversas maneras, incluida la identificación de comportamientos específicos que a menudo se implementan con código nativo o mediante la explotación de una pérdida de información del sistema en la aplicación de Java que muestra su uso de JNI [2].

References

[1] B. Stearns The Java Tutorial: The Java Native Interface

[2] JNI00-J. Define wrappers around native methods CERT

[3] INPUT-3: Define wrappers around native methods Oracle

[4] Standards Mapping - Common Weakness Enumeration CWE ID 111

[5] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020

[6] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[7] Standards Mapping - FIPS200 SI

[8] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[11] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[12] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[13] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4

[14] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[23] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[24] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[25] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[26] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I

[27] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I

[28] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I

[29] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I

[30] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I

[31] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I

[32] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I

[33] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I

[34] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I

[35] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I

[36] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I

[37] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I

[38] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I

[46] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[47] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[48] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[49] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.semantic.java.unsafe_jni

Unsafe JSNI

Java/JSP

Abstract

El uso inadecuado de la interfaz nativa de JavaScript (JSNI, por sus siglas en inglés) puede provocar que las aplicaciones de GWT sean vulnerables a los errores de seguridad de JavaScript.

Explanation

Los errores relacionados con JSNI no seguros se producen cuando una aplicación de GWT usa JSNI para llamar al código JavaScript.
Ejemplo 1: El siguiente código de Java define una clase denominada Redirect. La clase declara un método JavaScript nativo, que usa JavaScript para cambiar la ubicación del documento.


import com.google.gwt.user.client.ui.UIObject;

class MyDiv {

    ...

    public static void changeName(final UIObject object, final String name) {
        changeName(object.getElement(), url);
    }

    public static native void changeName(final Element e, final String name) /*-{
        $wnd.jQuery(e).html(name);
    }-*/;

    ...
}

En este ejemplo, pasar datos que no son de confianza a la función JSNI puede dar como resultado un ataque Cross-Site Scripting basado en DOM.

References

[1] JSNI Google

[2] Standards Mapping - Common Weakness Enumeration CWE ID 111

[3] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[5] Standards Mapping - FIPS200 SI

[6] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[7] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[8] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[9] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[10] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[11] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[20] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[21] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[22] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[23] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I

[24] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I

[25] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I

[26] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I

[27] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I

[28] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I

[29] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I

[30] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I

[31] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I

[32] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I

[33] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I

[34] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I

[35] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I

[36] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I

[37] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I

[38] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[46] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.semantic.java.unsafe_jsni

Unsafe Mobile Code: Access Violation

Java/JSP

Abstract

El programa infringe los principio de codificación segura para código móvil devolviendo una variable de matriz private desde un método de acceso public.

Explanation

Devolver una variable de matriz private desde un método de acceso public permite que el código de llamada modifique el contenido de la matriz, dando a la matriz acceso public y contradiciendo las intenciones del programador que la hizo private.

Ejemplo 1: el siguiente código Applet de Java devuelve incorrectamente una matriz private desde un método de acceso public.


public final class urlTool extends Applet {
private URL[] urls;
public URL[] getURLs() {
	return urls;
}
	...
}

El código móvil, en este caso un Applet de Java, es el código que se transmite por una red y se ejecuta en un equipo remoto. Como los desarrolladores de código móvil tienen poco o ningún control sobre el entorno en el que su código se va a ejecutar, aparecen preocupaciones especiales en materia de seguridad. Una de las mayores amenazas del entorno proceden del riesgo de que el código móvil se ejecute a la par con otro código móvil, potencialmente malintencionado. Como todos los exploradores web más populares ejecutan código desde varios orígenes juntos en el mismo JVM, muchas de estas instrucciones de seguridad para el código móvil se centran en evitar la manipulación del estado y el comportamiento de sus objetos por parte de adversarios que tienen acceso a la misma máquina virtual en la que se ejecuta su programa.

References

[1] G. McGraw Securing Java. Chapter 7: Java Security Guidelines

[2] Standards Mapping - Common Weakness Enumeration CWE ID 495

[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165

[4] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation

[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-3 Access Enforcement (P1)

[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-3 Access Enforcement

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[13] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control

[14] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control

[15] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls

[16] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[32] Standards Mapping - Web Application Security Consortium Version 2.00 Insufficient Authorization (WASC-02)

desc.structural.java.unsafe_mobile_code_access_violation

Unsafe Mobile Code: Database Access

Java/JSP

Abstract

Los Applets que realizan operaciones de base de datos JDBC en un entorno no confiable pueden comprometer las credenciales de la base de datos.

Explanation

De forma predeterminada, los Applets de Java tienen permitido abrir las conexiones de base de datos en el servidor desde donde se descargan. Esto es aceptable en entornos confiables; sin embargo, en los entornos no confiables los atacantes pueden usar el Applet para detectar credenciales de base de datos y finalmente obtener acceso a la base de datos directamente.
Ejemplo 1: el código siguiente muestra una contraseña de base de datos codificada de forma rígida que se está usando en un applet.


public class CustomerServiceApplet extends JApplet
{
    public void paint(Graphics g)
    {
        ...
        conn = DriverManager.getConnection ("jdbc:mysql://db.example.com/customerDB", "csr", "p4ssw0rd");
        ...

Los usuarios de un Applet con credenciales JDBC codificadas de forma rígida pueden detectar fácilmente las credenciales, ya que el código de Applet se descarga en el cliente. Además, si la conexión de base de datos se realiza por un canal no cifrado, cualquiera que sea capaz de examinar el tráfico de red también puede obtener las credenciales. Finalmente, permitir a los usuarios conectarse directamente a una base de datos revela la presencia de un servidor de base de datos accesible públicamente, que permite a los atacantes centrarse en la base de datos para ataques de red directos.

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 305

[2] Standards Mapping - Common Weakness Enumeration Top 25 2019 [13] CWE ID 287

[3] Standards Mapping - Common Weakness Enumeration Top 25 2020 [14] CWE ID 287

[4] Standards Mapping - Common Weakness Enumeration Top 25 2021 [14] CWE ID 287

[5] Standards Mapping - Common Weakness Enumeration Top 25 2022 [14] CWE ID 287

[6] Standards Mapping - Common Weakness Enumeration Top 25 2023 [13] CWE ID 287

[7] Standards Mapping - Common Weakness Enumeration Top 25 2024 [14] CWE ID 287

[8] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165

[9] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation

[10] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-3 Access Enforcement (P1)

[11] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-3 Access Enforcement

[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.7.1 Out of Band Verifier Requirements (L1 L2 L3), 2.7.2 Out of Band Verifier Requirements (L1 L2 L3), 2.7.3 Out of Band Verifier Requirements (L1 L2 L3), 2.8.4 Single or Multi Factor One Time Verifier Requirements (L2 L3), 2.8.5 Single or Multi Factor One Time Verifier Requirements (L2 L3), 3.7.1 Defenses Against Session Management Exploits (L1 L2 L3), 9.2.3 Server Communications Security Requirements (L2 L3)

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[19] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control

[20] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control

[21] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls

[22] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[38] Standards Mapping - Web Application Security Consortium Version 2.00 Insufficient Authorization (WASC-02)

desc.structural.java.unsafe_mobile_code_database_access

Unsafe Mobile Code: Inner Class

Java/JSP

Abstract

El programa infringe los principios de codificación segura para código móvil usando una clase interna.

Explanation

Las clases internas introducen discretamente varios problemas de seguridad por la forma en que se traducen en código de bytes Java. En el código fuente Java, parece ser que una clase interna se puede declarar para que sea accesible solo para clase envolvente. Sin embargo, como el código de bytes de Java no tiene concepto de clase interna, el compilador debe transformar una declaración de clase interna en una clase del mismo nivel, con un nivel de acceso de package a la clase externa original. Es más, como una clase interna puede acceder a campos private en su clase envolvente, una vez que una clase interna se convierte en otra del mismo nivel en código de bytes, el compilador convierte los campos private a los que accede la clase interna en campos protected.

Ejemplo 1: el siguiente código Applet de Java utiliza incorrectamente una clase interna.


public final class urlTool extends Applet {
private final class urlHelper {
	...
}
	...
}

References

[1] G. McGraw Securing Java. Chapter 7: Java Security Guidelines

[2] Standards Mapping - Common Weakness Enumeration CWE ID 492

[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165

[4] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-3 Access Enforcement (P1)

[5] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-3 Access Enforcement

[6] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[12] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control

[13] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control

[14] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls

[15] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[16] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[31] Standards Mapping - Web Application Security Consortium Version 2.00 Insufficient Authorization (WASC-02)

desc.structural.java.unsafe_mobile_code_inner_class

Unsafe Mobile Code: Public finalize() Method

Java/JSP

Abstract

El programa infringe los principios de codificación segura para código móvil declarando un método finalize() como public.

Explanation

Un programa nunca debería llamar la finalización de forma explícita, salvo llamar super.finalize() dentro de una implementación de finalize(). En situaciones de código móvil, la práctica errónea de recolección manual de elementos no utilizados puede convertirse en una amenaza para la seguridad si un atacante es capaz de invocar de forma malintencionada uno de sus métodos finalize() porque se ha declarado con acceso public. Si está utilizando finalize() tal cual se diseñó, no hay motivos para declarar finalize() con otro acceso que no sea protected.

Ejemplo 1: el siguiente código Applet de Java declara incorrectamente un método public finalize().


public final class urlTool extends Applet {
public void finalize() {
	...
}
	...
}

References

[1] G. McGraw Securing Java. Chapter 7: Java Security Guidelines

[2] MET12-J. Do not use finalizers CERT

[3] Standards Mapping - Common Weakness Enumeration CWE ID 583

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165