계: Input Validation and Representation

입력 검증 및 표현 문제는 메타 문자, 대체 인코딩 및 숫자 표현 때문에 발생합니다. 보안 문제는 입력을 신뢰하기 때문에 발생합니다. 문제로는 "Buffer Overflows", "Cross-Site Scripting" 공격, "SQL Injection", 그 외 여러 가지가 있습니다.

Link Injection: Missing Validation

Objective-C
Swift

Abstract

식별된 메서드는 webview로 페이지를 로드하지만 사용자가 클릭할 수 있는 링크를 확인 또는 검증하는 제어를 구현하지 않습니다.

Explanation

페이지의 콘텐트를 완전하게 제어하고 있는 경우 이외에는 악의적 공격자가 원하지 않는 작업을 시작하는 데 사용될 수 있는 링크를 사용자가 클릭할 수 있습니다.

예를 들어 응용 프로그램이 링크가 포함되어 있을 수 있는 블로그 게시물 또는 트윗을 표시할 수 있습니다. 사용자가 방문 중인 게시물이나 트윗의 작성자는 자신의 페이지에 임의의 링크를 사용할 수 있습니다. 사용자가 악성 사이트에 방문하여 속거나 자동으로 유도되어 링크를 클릭할 경우, 공격자는 특별한 URL 스키마를 사용하여 FaceTime 또는 전화 통화를 시작하거나 데이터를 보내거나 타사 응용 프로그램에서 작업을 시작하는 등의 위험 가능성이 있는 작업을 시작할 수 있습니다. 랜딩 페이지를 제어하더라도 사용자가 다른 신뢰할 수 없는 사이트로 탐색할 수 있다는 점을 유의하십시오.

예제 1: 다음 코드 조각에서는 webview를 사용하여 신뢰할 수 없는 링크가 포함되어 있을 수 있는 사이트를 로드하지만 이 webview에서 시작된 요청을 검증할 수 있는 대리자를 지정하지 않습니다.


    ...
    NSURL *webUrl = [[NSURL alloc] initWithString:@"https://some.site.com/"];
    NSURLRequest *webRequest = [[NSURLRequest alloc] initWithURL:webUrl];
    [webView loadRequest: webRequest];

References

[1] Collin Mulliner iOS WebView auto dialer bug

[2] Apple UIWebViewDelegate

[3] Standards Mapping - Common Weakness Enumeration CWE ID 501

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001084, CCI-002754

[5] Standards Mapping - FIPS200 SI

[6] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[7] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-3 Security Function Isolation (P1), SI-10 Information Input Validation (P1)

[8] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-3 Security Function Isolation, SI-10 Information Input Validation

[9] Standards Mapping - OWASP Mobile 2014 M8 Security Decisions Via Untrusted Inputs

[10] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[11] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4, MASVS-PLATFORM-1, MASVS-PLATFORM-2

[12] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input

[13] Standards Mapping - OWASP Top 10 2021 A04 Insecure Design

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1

[16] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[17] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[18] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[19] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I

[20] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I

[21] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I

[22] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I

[23] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I

[24] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I

[25] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I

[26] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[27] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[28] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[29] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[30] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[31] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[32] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[33] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[34] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[35] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[36] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[37] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[38] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002360 CAT II, APSC-DV-002560 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002360 CAT II, APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002360 CAT II, APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[41] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.dataflow.objc.link_injection_missing_validation

Abstract

식별된 메서드는 webview로 페이지를 로드하지만 사용자가 클릭할 수 있는 링크를 확인 또는 검증하는 제어를 구현하지 않습니다.

Explanation


    ...
    let webUrl = URL(string: "https://some.site.com/")!
    let urlRequest = URLRequest(url: webUrl)
    webView.load(webRequest)
    ...