Reino: API Abuse

Uma API é um contrato entre quem chama e o que se chama. As formas mais comuns de abuso de API ocorrem quando o responsável pela chamada não respeita sua parte do contrato. Por exemplo, se um programa não chama chdir() após chamar chroot(), ele viola o contrato que especifica como alterar o diretório raiz ativo de forma segura. Outro bom exemplo de abuso de biblioteca é esperar que o elemento chamado retorne informações confiáveis de DNS ao responsável pela chamada. Nesse caso, o responsável pela chamada abusa a API do elemento chamado ao fazer certas suposições sobre seu comportamento (isto é, que o valor de retorno pode ser usado para fins de autenticação). A outra parte também pode violar o contrato entre quem chama e o que se chama. Por exemplo, se um programador definir SecureRandom como subclasse e retornar um valor não aleatório, o contrato será violado.

Often Misused: sun.misc.Unsafe

Java/JSP

Abstract

O aplicativo usa a funcionalidade de sun.misc.Unsafe. Todas as funcionalidades dessa classe são inerentemente inseguras de usar e só podem ser acessadas por meio de reflexão.

Explanation

A classe sun.misc.Unsafe é para executar operações inseguras e de baixo nível e não se destina ao uso por desenvolvedores.
A classe Unsafe só pode ser obtida por código confiável e normalmente é obtida por meio de reflexão, pois pode ser usada para corromper o sistema ou alocar manualmente memória heap que, se não for tratada adequadamente, poderá ter efeitos prejudiciais no sistema. É imperativo que toda a funcionalidade em torno de sun.misc.Unsafe seja cuidadosamente revisada e testada para estar ausente de falhas.

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 676

[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[3] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[4] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[5] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[6] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[9] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[10] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[11] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[12] Standards Mapping - SANS Top 25 2011 Risky Resource Management - CWE ID 676

[13] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP2060.4 CAT II, APP3590.2 CAT I

[14] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP2060.4 CAT II, APP3590.2 CAT II

[15] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP2060.4 CAT II, APP3590.2 CAT II

[16] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP2060.4 CAT II, APP3590.2 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP2060.4 CAT II, APP3590.2 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP2060.4 CAT II, APP3590.2 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP2060.4 CAT II, APP3590.2 CAT II

desc.structural.java.often_misused_sun_misc_unsafe