계: Input Validation and Representation
입력 검증 및 표현 문제는 메타 문자, 대체 인코딩 및 숫자 표현 때문에 발생합니다. 보안 문제는 입력을 신뢰하기 때문에 발생합니다. 문제로는 "Buffer Overflows", "Cross-Site Scripting" 공격, "SQL Injection", 그 외 여러 가지가 있습니다.
gRPC Metadata Manipulation
Abstract
신뢰할 수 없는 소스에서 Google Remote Procedure Call(gRPC)
Metadata 개체가 생성됩니다. 그러므로 공격자가 중요한 프로토콜 필드를 제어하게 될 수도 있습니다.Explanation
Metadata 클래스는 Google Remote Procedure Call(gRPC)에서 사용하는 기본 프로토콜의 헤더 데이터를 저장하는 데 사용되는 경우가 많습니다. 기본 프로토콜이 HTTP일 때는 Metadata 개체의 데이터를 제어하면 시스템이 HTTP 헤더 조작에 취약해질 수 있습니다. 공격자가 다른 공격 벡터(대개 기본 프로토콜 기반)를 이용할 수 있기 때문입니다.예제 1: 다음 코드는 gRPC
Metadata 개체의 입력으로 사용되는 사용자 제어 가능 데이터를 보여줍니다.
...
String badData = getUserInput();
Metadata headers = new Metadata();
headers.put(Metadata.Key.of("sample", Metadata.ASCII_STRING_MARSHALLER), badData);
...
desc.dataflow.java.grpc_metadata_manipulation