界: API Abuse

API は、呼び出し元と呼び出し先の間のコントラクトです。最も一般的な API の不正使用の形態は、呼び出し元がこのコントラクトの終わりを守らないことによって発生します。たとえば、プログラムが chroot() を呼び出した後に chdir() を呼び出すのに失敗すると、アクティブなルートディレクトリを安全に変更する方法を指定したコントラクトに違反することになります。ライブラリの悪用のもう 1 つの良い例は、呼び出し先が信頼できる DNS 情報を呼び出し元に返すことを期待することです。この場合、呼び出し元は、呼び出し先の API の動作 (戻り値が認証目的に使用できること) についてある種の仮定をすることで、呼び出し先の API を悪用します。また、相手側から、呼び出し元と呼び出し先のコントラクトを違反することもできます。例えば、コーダーが SecureRandom をサブクラス化し、ランダムではない値を返した場合、コントラクトに違反することになります。

Restricted Method

Java/JSP

Abstract

このメソッドは制限されています。このメソッドを使用するたびに、問題としてフラグが付けられます。

Explanation

Foreign Function and Memory API 内では、一部のメソッドは、誤って使用すると JVM のクラッシュやメモリ破損につながる可能性があるため、制限されていると見なされます。

References

[1] Oracle Foreign Function and Memory API: Restricted Methods

[2] Standards Mapping - Common Weakness Enumeration CWE ID 749

[3] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-16 Memory Protection (P1)

[4] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-16 Memory Protection

[5] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.4.2 Memory/String/Unmanaged Code Requirements (L1 L2 L3)

[6] Standards Mapping - SANS Top 25 2011 Risky Resource Management - CWE ID 676

desc.structural.java.ffr_restricted_methods