Setting Manipulation

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.



Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, dê um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O trecho de código PHP a seguir lê um parâmetro de uma solicitação HTTP e define-o como a conexão de banco de dados.

...
taintedConnectionStr = request->get_form_field( 'dbconn_name' ).
TRY.
    DATA(con) = cl_sql_connection=>get_connection( `R/3*` && taintedConnectionStr ).
    ...
    con->close( ).
  CATCH cx_sql_exception INTO FINAL(exc).
    ...
ENDTRY.

Neste exemplo, um invasor pode causar um erro fornecendo uma conexão de banco de dados inexistente na tabela ABAP DBCON ou pode se conectar a uma parte não autorizada do banco de dados.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.

Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.

Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O seguinte código C aceita um número como um de seus parâmetros de linha de comando e o define como a ID de host da máquina atual.

...
sethostid(argv[1]);
...

Embora um processo deva ser privilegiado para invocar sethostid() com êxito, usuários sem privilégios podem ser capazes de invocar o programa. O código nesse exemplo permite que a entrada do usuário controle diretamente o valor de uma configuração do sistema. Se um invasor fornece um valor mal-intencionado para a ID de host, o invasor poderá identificar incorretamente a máquina afetada na rede ou causar outro comportamento indesejado.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.



Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O seguinte trecho de código COBOL lê valores do terminal e os utiliza para calcular as opções usadas para estabelecer o acesso a um objeto de fila.

...
ACCEPT OPT1.
ACCEPT OPT2
COMPUTE OPTS = OPT1 + OPT2.
CALL 'MQOPEN' USING HCONN, OBJECTDESC, OPTS, HOBJ, COMPOCODE REASON.
... 

Nesse exemplo, um invasor pode fornecer uma opção que permite um acesso compartilhado, em vez de exclusivo, à fila.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.

Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O código a seguir lê um número de um formulário da Web e o utiliza para definir o valor de tempo limite em um arquivo de inicialização.

...
<cfset code = SetProfileString(IniPath, 
              Section, "timeout", Form.newTimeout)>
...

Como o valor de Form.newTimeout é usado para especificar um tempo limite, um invasor pode ser capaz de preparar um ataque de negação de serviço (DoS) contra o aplicativo especificando um número suficientemente grande.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.



Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O trecho de código a seguir define uma variável de ambiente com dados controlados pelo usuário.

...
catalog := request.Form.Get("catalog")
path := request.Form.Get("path")
os.Setenv(catalog, path)
...

Neste exemplo, um invasor poderia definir qualquer variável de ambiente arbitrária e afetar a forma como outros aplicativos funcionam.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.



Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: Este trecho de código Node.js lê uma cadeia a partir de uma variável de solicitação http.IncomingMessage e a utiliza para definir sinalizadores adicionais de linha de comando V8.

var v8 = require('v8');
...
var flags = url.parse(request.url, true)['query']['flags'];
...
v8.setFlagsFromString(flags);
...

Neste exemplo, um invasor pode fazer com que muitos sinalizadores diferentes sejam definidos na VM, o que pode resultar em um comportamento imprevisível, incluindo o travamento do programa e uma potencial perda de dados.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.



Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O trecho de código PHP a seguir lê um parâmetro de uma solicitação HTTP e define-o como o catálogo ativo de uma conexão de banco de dados.

<?php
    ...
    $table_name=$_GET['catalog'];
    $retrieved_array = pg_copy_to($db_connection, $table_name);
    ...
?>

Neste exemplo, um invasor pode causar um erro fornecendo um nome de catálogo inexistente ou pode se conectar a uma parte não autorizada do banco de dados.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.



Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: Este trecho de código define uma variável de ambiente usando dados controlados pelo usuário.

...
catalog = request.GET['catalog']
path = request.GET['path']
os.putenv(catalog, path)
...

Neste exemplo, um invasor poderia definir qualquer variável de ambiente arbitrário e afetar a forma como outros aplicativos funcionam.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.



Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O seguinte trecho de código Scala lê uma string de uma Solicitação Http e a define como o catálogo ativo para um banco de dados Connection.

def connect(catalog: String) = Action { request =>
    ...
    conn.setCatalog(catalog)
    ...
}

Neste exemplo, um invasor pode causar um erro fornecendo um nome de catálogo inexistente ou pode se conectar a uma parte não autorizada do banco de dados.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais.A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.

Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O código a seguir configura o manipulador de logs do SQL e usa um valor controlável pelo usuário.

...
sqlite3(SQLITE_CONFIG_LOG, user_controllable);
...

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.

Permitir o controle externo de configurações do sistema pode interromper o serviço ou fazer com que um aplicativo se comporte de maneiras inesperadas.

Vulnerabilidades de manipulação de configurações ocorrem quando um invasor pode controlar valores que regem o comportamento do sistema, gerenciam recursos específicos ou afetam de alguma forma a funcionalidade do aplicativo.



Como a manipulação de configurações abrange um conjunto diversificado de funções, qualquer tentativa de ilustrá-la será inevitavelmente incompleta. Em vez de procurar um relacionamento coeso entre as funções abordadas na categoria de manipulação de configurações, de um passo para trás e considere os tipos de valores do sistema que um invasor não deve ter permissão para controlar.

Exemplo 1: O seguinte trecho de código VB lê uma cadeia de caracteres de um objeto Request e define-a como o catálogo ativo de um banco de dados Connection.

...
Dim conn As ADODB.Connection
Set conn = New ADODB.Connection
Dim rsTables As ADODB.Recordset
Dim Catalog As New ADOX.Catalog
Set Catalog.ActiveConnection = conn
Catalog.Create Request.Form("catalog")
...

Neste exemplo, um invasor pode causar um erro fornecendo um nome de catálogo inexistente ou pode se conectar a uma parte não autorizada do banco de dados.

Em geral, não permita que dados fornecidos pelo usuário ou de qualquer outra forma não confiáveis controlem valores confidenciais. A vantagem obtida por um invasor ao controlar esses valores nem sempre é imediatamente óbvia, mas não subestime a criatividade dele.