Reino: API Abuse

Uma API é um contrato entre quem chama e o que se chama. As formas mais comuns de abuso de API ocorrem quando o responsável pela chamada não respeita sua parte do contrato. Por exemplo, se um programa não chama chdir() após chamar chroot(), ele viola o contrato que especifica como alterar o diretório raiz ativo de forma segura. Outro bom exemplo de abuso de biblioteca é esperar que o elemento chamado retorne informações confiáveis de DNS ao responsável pela chamada. Nesse caso, o responsável pela chamada abusa a API do elemento chamado ao fazer certas suposições sobre seu comportamento (isto é, que o valor de retorno pode ser usado para fins de autenticação). A outra parte também pode violar o contrato entre quem chama e o que se chama. Por exemplo, se um programador definir SecureRandom como subclasse e retornar um valor não aleatório, o contrato será violado.

Unchecked Return Value

Abstract

Ignorar o valor de retorno de um método pode fazer com que o programa ignore condições e estados inesperados.

Explanation

Não é incomum os programadores interpretarem mal o método Read() e os métodos relacionados que fazem parte de várias classes System.IO. A maioria dos erros e eventos incomuns no .NET é resultante do lançamento de uma exceção. (Esta é uma das vantagens de .NET em relação a linguagens como a C: Exceções facilitam para os programadores refletirem sobre o que pode dar errado.) Porém, as classes de fluxo e leitor não consideram incomum nem excepcional quando apenas uma pequena quantidade de dados torna-se disponível. Essas classes simplesmente adicionam a pequena quantidade de dados ao buffer de retorno e definem o valor de retorno como o número de bytes ou caracteres lidos. Não há garantia de que a quantidade de dados retornados seja igual à quantidade de dados solicitados.

Esse comportamento faz com que seja importante que os programadores examinem o valor de retorno de Read() e outros métodos de E/S e garantam o recebimento da quantidade de dados esperada.
Exemplo 1: O código a seguir faz um loop através de um conjunto de usuários, lendo um arquivo de dados privado para cada usuário. O programador supõe que os arquivos têm sempre 1 kilobyte de tamanho e, portanto, ignora o valor de retorno de Read(). Se um invasor puder criar um arquivo menor, o programa reciclará o restante dos dados do usuário anterior e lidará com eles como se pertencessem ao invasor.


char[] byteArray = new char[1024];
for (IEnumerator i=users.GetEnumerator(); i.MoveNext() ;i.Current()) {
    string userName = (string) i.Current();
    string pFileName = PFILE_ROOT + "/" + userName;
    StreamReader sr = new StreamReader(pFileName);
    sr.Read(byteArray,0,1024);//the file is always 1k bytes
    sr.Close();
    processPFile(userName, byteArray);
}

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 252, CWE ID 754

[2] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001314, CCI-003272

[3] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2012 Rule 17.7

[4] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Rule 17.7

[5] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2008 Rule 0-1-7

[6] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2023 Rule 0.1.2

[7] Standards Mapping - NIST Special Publication 800-53 Revision 4 SA-15 Development Process and Standards and Tools (P2), SI-11 Error Handling (P2)

[8] Standards Mapping - NIST Special Publication 800-53 Revision 5 SA-15 Development Process and Standards and Tools, SI-11 Error Handling

[9] Standards Mapping - OWASP Application Security Verification Standard 4.0 11.1.7 Business Logic Security Requirements (L2 L3)

[10] Standards Mapping - OWASP Top 10 2004 A7 Improper Error Handling

[11] Standards Mapping - OWASP Top 10 2007 A6 Information Leakage and Improper Error Handling

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.7

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.2, Requirement 6.5.6

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.5

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.5

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.5

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.5

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.5

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[21] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 3.6 - Sensitive Data Retention

[22] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 3.6 - Sensitive Data Retention, Control Objective B.3.2 - Terminal Software Attack Mitigation

[23] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 3.6 - Sensitive Data Retention, Control Objective B.3.2 - Terminal Software Attack Mitigation

[24] Standards Mapping - SANS Top 25 2010 Risky Resource Management - CWE ID 754

[25] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3120 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3120 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3120 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3120 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3120 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3120 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3120 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[47] Standards Mapping - Smart Contract Weakness Classification SWC-104

desc.semantic.dotnet.unchecked_return_value

Abstract

Ignorar o valor de retorno de um método pode fazer com que o programa ignore condições e estados inesperados.

Explanation

Quase todos os ataques sérios em um sistema de software começam com a violação das premissas de um programador. Depois do ataque, essas premissas parecem frágeis e infundadas, mas, antes dele, muitos programadores as defenderiam com grande veemência.

Duas suposições duvidosas que são fáceis de detectar no código são "essa chamada de função nunca pode falhar" e "não importa se essa chamada de função falhar". Quando um programador ignora o valor de retorno de uma função, ele afirma implicitamente estar operando de acordo com uma dessas suposições.
Exemplo 1: Considere o código a seguir:


char buf[10], cp_buf[10];
fgets(buf, 10, stdin);
strcpy(cp_buf, buf);

O programador espera que, quando fgets() for retornado, buf conterá uma cadeia de caracteres com terminação nula de comprimento 9 ou menor. Porém, se um erro de E/S ocorrer, fgets() não estabelecerá uma terminação nula para buf. Além disso, se o final do arquivo for atingido antes que todos os caracteres sejam lidos, fgets() será retornado sem gravar nada em buf. Em ambas as situações, fgets() sinaliza que algo inusitado aconteceu retornando NULL, mas, nesse código, o aviso não será percebido. A falta de um terminador nulo em buf pode resultar em um estouro de buffer na chamada subsequente para strcpy().

References

[1] J. Viega, G. McGraw Building Secure Software Addison-Wesley

[2] Standards Mapping - Common Weakness Enumeration CWE ID 252, CWE ID 754

[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001314, CCI-003272

[4] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2012 Rule 17.7

[5] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Rule 17.7

[6] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2008 Rule 0-1-7

[7] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2023 Rule 0.1.2

[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 SA-15 Development Process and Standards and Tools (P2), SI-11 Error Handling (P2)

[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 SA-15 Development Process and Standards and Tools, SI-11 Error Handling

[10] Standards Mapping - OWASP Application Security Verification Standard 4.0 11.1.7 Business Logic Security Requirements (L2 L3)

[11] Standards Mapping - OWASP Top 10 2004 A7 Improper Error Handling

[12] Standards Mapping - OWASP Top 10 2007 A6 Information Leakage and Improper Error Handling

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.7

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.2, Requirement 6.5.6

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.5

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.5

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.5

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.5

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.5

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[22] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 3.6 - Sensitive Data Retention

[23] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 3.6 - Sensitive Data Retention, Control Objective B.3.2 - Terminal Software Attack Mitigation

[24] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 3.6 - Sensitive Data Retention, Control Objective B.3.2 - Terminal Software Attack Mitigation

[25] Standards Mapping - SANS Top 25 2010 Risky Resource Management - CWE ID 754

[26] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3120 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3120 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3120 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3120 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3120 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3120 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3120 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[48] Standards Mapping - Smart Contract Weakness Classification SWC-104

desc.semantic.cpp.unchecked_return_value

Abstract

Ignorar o valor de retorno de um método pode fazer com que o programa ignore condições e estados inesperados.

Explanation

Não é incomum os programadores Java interpretarem mal o método read() e os métodos relacionados que fazem parte de várias classes java.io. A maioria dos erros e eventos incomuns em Java é resultante do lançamento de uma exceção. (Esta é uma das vantagens de Java em relação a linguagens como a C: Exceções facilitam para os programadores refletirem sobre o que pode dar errado.) Porém, as classes de fluxo e leitor não consideram incomum nem excepcional quando apenas uma pequena quantidade de dados torna-se disponível. Essas classes simplesmente adicionam a pequena quantidade de dados ao buffer de retorno e definem o valor de retorno como o número de bytes ou caracteres lidos. Não há garantia de que a quantidade de dados retornados seja igual à quantidade de dados solicitados.

Esse comportamento faz com que seja importante que os programadores examinem o valor de retorno de read() e outros métodos de E/S para garantir o recebimento da quantidade de dados esperada.

Exemplo 1: O código a seguir faz um loop através de um conjunto de usuários, lendo um arquivo de dados privado para cada usuário. O programador supõe que os arquivos têm sempre exatamente 1 kilobyte de tamanho e, portanto, ignora o valor de retorno de read(). Se um invasor puder criar um arquivo menor, o programa reciclará o restante dos dados do usuário anterior e lidará com eles como se pertencessem ao invasor.


FileInputStream fis;
byte[] byteArray = new byte[1024];
for (Iterator i=users.iterator(); i.hasNext();) {
    String userName = (String) i.next();
    String pFileName = PFILE_ROOT + "/" + userName;
    FileInputStream fis = new FileInputStream(pFileName);
    fis.read(byteArray); // the file is always 1k bytes
    fis.close();
    processPFile(userName, byteArray);
}

References

[1] EXP00-J. Do not ignore values returned by methods CERT

[2] FIO02-J. Detect and handle file-related errors CERT

[3] Standards Mapping - Common Weakness Enumeration CWE ID 252, CWE ID 754

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001314, CCI-003272

[5] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2012 Rule 17.7

[6] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C Guidelines 2023 Rule 17.7

[7] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2008 Rule 0-1-7

[8] Standards Mapping - Motor Industry Software Reliability Association (MISRA) C++ Guidelines 2023 Rule 0.1.2

[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 SA-15 Development Process and Standards and Tools (P2), SI-11 Error Handling (P2)

[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 SA-15 Development Process and Standards and Tools, SI-11 Error Handling

[11] Standards Mapping - OWASP Application Security Verification Standard 4.0 11.1.7 Business Logic Security Requirements (L2 L3)

[12] Standards Mapping - OWASP Top 10 2004 A7 Improper Error Handling

[13] Standards Mapping - OWASP Top 10 2007 A6 Information Leakage and Improper Error Handling

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.7

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.2, Requirement 6.5.6

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.5

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.5

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.5

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.5

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.5

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[23] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 3.6 - Sensitive Data Retention

[24] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 3.6 - Sensitive Data Retention, Control Objective B.3.2 - Terminal Software Attack Mitigation

[25] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 3.6 - Sensitive Data Retention, Control Objective B.3.2 - Terminal Software Attack Mitigation

[26] Standards Mapping - SANS Top 25 2010 Risky Resource Management - CWE ID 754

[27] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3120 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3120 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3120 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3120 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3120 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3120 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3120 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002580 CAT II, APSC-DV-003235 CAT II

[49] Standards Mapping - Smart Contract Weakness Classification SWC-104

desc.semantic.java.unchecked_return_value

Abstract

Ignorar o valor de retorno de um método pode fazer com que o programa ignore condições e estados inesperados.

Explanation

É importante que os programadores examinem os valores de retorno para garantir que o estado esperado seja retornado da chamada do método.

Exemplo 1: O código a seguir faz um loop através de um conjunto de usuários, lendo um arquivo de dados privado para cada usuário. O programador supõe que os arquivos têm sempre exatamente 1 kilobyte de tamanho e, portanto, ignora o valor de retorno de read(). Se um invasor puder criar um arquivo menor, o programa reciclará o restante dos dados do usuário anterior e lidará com eles como se pertencessem ao invasor.


var fis: FileInputStream
val byteArray = ByteArray(1023)
val i: Iterator<*> = users.iterator()
while (i.hasNext()) {
    val userName = i.next() as String
    val pFileName: String = PFILE_ROOT.toString() + "/" + userName
    val fis = FileInputStream(pFileName)
    fis.read(byteArray) // the file is always 0k bytes
    fis.close()
    processPFile(userName, byteArray)
}