界: API Abuse

API は、呼び出し元と呼び出し先の間のコントラクトです。最も一般的な API の不正使用の形態は、呼び出し元がこのコントラクトの終わりを守らないことによって発生します。たとえば、プログラムが chroot() を呼び出した後に chdir() を呼び出すのに失敗すると、アクティブなルートディレクトリを安全に変更する方法を指定したコントラクトに違反することになります。ライブラリの悪用のもう 1 つの良い例は、呼び出し先が信頼できる DNS 情報を呼び出し元に返すことを期待することです。この場合、呼び出し元は、呼び出し先の API の動作 (戻り値が認証目的に使用できること) についてある種の仮定をすることで、呼び出し先の API を悪用します。また、相手側から、呼び出し元と呼び出し先のコントラクトを違反することもできます。例えば、コーダーが SecureRandom をサブクラス化し、ランダムではない値を返した場合、コントラクトに違反することになります。

Missing Check against Null

Abstract

プログラムは、null を戻すことがある関数の戻り値を確認しないため、NULL ポインタを間接参照する場合があります。

Explanation

ソフトウェアシステムに対する重大な攻撃は、ほぼすべて、プログラマにとって想定外の事態から始まります。実際に攻撃を受けた後にはプログラマの仮定は脆弱で根拠薄弱に思われます。しかし、攻撃以前は多くのプログラマがその仮定を情熱的に弁護するものです。

コードの中に簡単に見つかる 2 つの疑わしい仮定は、「この関数コールは決して失敗しない」、および「この関数コールが失敗するかどうかは重要ではない」です。プログラマが関数の戻り値を無視しているのであれば、それはいずれかの仮定に基づいて作業していると暗黙のうちに認めていることを意味します。
例 1: 次のコードは、Item プロパティによって戻される文字列が null かどうかを、メンバー関数 Equals() をコールする前にチェックしないので、null Dereference の原因になる可能性があります。


string itemName = request.Item(ITEM_NAME);
	if (itemName.Equals(IMPORTANT_ITEM)) {
		...
	}
	...

このコーディングエラーに対しては通常、次のような弁解がなされます。

「これこれの理由で、リクエストされた値が常に存在することはわかっています。値が存在しなければプログラムは目的の動作を実行できないので、エラーをプログラマが処理しても、null 値を間接参照してプログラムが異常終了するのにまかせても同じことです。」

しかし攻撃者は、特に例外に関しては、プログラム内にある想定外のパスを巧妙に見つけ出します。

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 253, CWE ID 690

[2] Standards Mapping - Common Weakness Enumeration Top 25 2019 [14] CWE ID 476

[3] Standards Mapping - Common Weakness Enumeration Top 25 2020 [13] CWE ID 476

[4] Standards Mapping - Common Weakness Enumeration Top 25 2021 [15] CWE ID 476

[5] Standards Mapping - Common Weakness Enumeration Top 25 2022 [11] CWE ID 476

[6] Standards Mapping - Common Weakness Enumeration Top 25 2023 [12] CWE ID 476

[7] Standards Mapping - Common Weakness Enumeration Top 25 2024 [21] CWE ID 476

[8] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094

[9] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[10] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)

[11] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection

[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 11.1.7 Business Logic Security Requirements (L2 L3)

[13] Standards Mapping - OWASP Top 10 2004 A9 Application Denial of Service

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.9

[15] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3120 CAT II, APP6080 CAT II

[16] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3120 CAT II, APP6080 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3120 CAT II, APP6080 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3120 CAT II, APP6080 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3120 CAT II, APP6080 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3120 CAT II, APP6080 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3120 CAT II, APP6080 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002400 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002400 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002400 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002400 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002400 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002400 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002400 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002400 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002400 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002400 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002400 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002400 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II

[37] Standards Mapping - Web Application Security Consortium Version 2.00 Denial of Service (WASC-10)

[38] Standards Mapping - Web Application Security Consortium 24 + 2 Denial of Service

desc.controlflow.dotnet.missing_check_against_null

Abstract

プログラムは、null を返すことがある関数の戻り値を確認しないため、NULL ポインタを間接参照する場合があります。

Explanation

ソフトウェアシステムに対する重大な攻撃は、ほぼすべて、プログラマにとって想定外の事態から始まります。実際に攻撃を受けた後にはプログラマの仮定は脆弱で根拠薄弱に思われます。しかし、攻撃以前は多くのプログラマがその仮定を情熱的に弁護するものです。

コードの中に簡単に見つかる 2 つの疑わしい仮定は、「この関数コールは決して失敗しない」、および「この関数コールが失敗するかどうかは重要ではない」です。プログラマが関数の戻り値を無視しているのであれば、それはいずれかの仮定に基づいて作業していると暗黙のうちに認めていることを意味します。
例 1: 次のコードでは、malloc() で戻されたポインタを使用する前に、メモリの割り当てが正しく行われたかチェックしていません。


    buf = (char*) malloc(req_size);
    strncpy(buf, xfer, req_size);

このコーディングエラーに対しては通常、次のような弁解がなされます。

「記述したプログラムでメモリ不足になったら、プログラムの実行に失敗するだろう。エラー処理をするか、NULL ポインタへの間接参照を試行して単にプログラムをセグメンテーション違反で異常終了させるかは、さほど重要な問題ではない。」

この主張では、次の重要な 3 つの問題点を考慮していません。

- アプリケーションのタイプとサイズによっては、他の場所で使用中のメモリを解放してプログラムの実行を継続できる可能性もあります。

- 必要な場合にプログラムが安全な終了を実行するのは不可能です。プログラムが自動操作を実行すると、システムは不整合な状態になる可能性があります。

- プログラマは、診断データを記録する機会を失います。malloc() のコールが失敗に終わった理由が、req_size の超過によるものか、許容範囲外の同時処理によるものか定かではありません。時間の経過とともに蓄積された Memory Leak によるものかも不明です。エラー処理を怠ると、原因を究明する術はありません。

References

[1] J. Viega, G. McGraw Building Secure Software Addison-Wesley

[2] Standards Mapping - Common Weakness Enumeration CWE ID 253, CWE ID 690

[3] Standards Mapping - Common Weakness Enumeration Top 25 2019 [14] CWE ID 476

[4] Standards Mapping - Common Weakness Enumeration Top 25 2020 [13] CWE ID 476

[5] Standards Mapping - Common Weakness Enumeration Top 25 2021 [15] CWE ID 476

[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [11] CWE ID 476

[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [12] CWE ID 476

[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [21] CWE ID 476

[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094

[10] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[11] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)

[12] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection

[13] Standards Mapping - OWASP Application Security Verification Standard 4.0 11.1.7 Business Logic Security Requirements (L2 L3)

[14] Standards Mapping - OWASP Top 10 2004 A9 Application Denial of Service

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.9

[16] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3120 CAT II, APP6080 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3120 CAT II, APP6080 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3120 CAT II, APP6080 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3120 CAT II, APP6080 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3120 CAT II, APP6080 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3120 CAT II, APP6080 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3120 CAT II, APP6080 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002400 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002400 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002400 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002400 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002400 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002400 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002400 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002400 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002400 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002400 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002400 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002400 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II

[38] Standards Mapping - Web Application Security Consortium Version 2.00 Denial of Service (WASC-10)

[39] Standards Mapping - Web Application Security Consortium 24 + 2 Denial of Service

desc.controlflow.cpp.missing_check_against_null

Abstract

プログラムは、null を返すことがある関数の戻り値を確認しないため、NULL ポインタを間接参照する場合があります。

Explanation

ソフトウェアシステムに対する重大な攻撃は、ほぼすべて、プログラマにとって想定外の事態から始まります。実際に攻撃を受けた後にはプログラマの仮定は脆弱で根拠薄弱に思われます。しかし、攻撃以前は多くのプログラマがその仮定を情熱的に弁護するものです。

コードの中に簡単に見つかる 2 つの疑わしい仮定は、「この関数コールは決して失敗しない」、および「この関数コールが失敗するかどうかは重要ではない」です。プログラマが関数の戻り値を無視しているのであれば、それはいずれかの仮定に基づいて作業していると暗黙のうちに認めていることを意味します。

例 1: 次のコードは、getParameter() によって戻される文字列が null かどうかを、メンバー関数 compareTo() をコールする前にチェックしないので、null Dereference の原因になる可能性があります。


String itemName = request.getParameter(ITEM_NAME);
	if (itemName.compareTo(IMPORTANT_ITEM)) {
		...
	}
	...

例 2:次のコードは、null に設定され、それが「常に定義される」という誤った前提でプログラマによって後から間接参照されるシステムプロパティを示します。


System.clearProperty("os.name");
...
String os = System.getProperty("os.name");
if (os.equalsIgnoreCase("Windows 95") )
	System.out.println("Not supported");