Reino: Input Validation and Representation

Problemas de validação e representação da entrada são causados por metacaracteres, codificações alternativas e representações numéricas. Confiar na entrada resulta em problemas de segurança. Os problemas incluem: “Buffer Overflows”, ataques de “Cross-Site Scripting”, “SQL Injection”, entre outros.

Denial of Service: StringBuilder

Java/JSP
Kotlin

Abstract

Anexar dados não confiáveis a uma instância do StringBuilder ou do StringBuffer inicializada com o tamanho padrão da matriz de apoio pode fazer com que a JVM consuma excessivamente o espaço de memória heap.

Explanation

Anexar dados controlados pelo usuário a uma instância do StringBuilder ou do StringBuffer inicializada com o tamanho padrão da matriz de caracteres de apoio (16) pode fazer com que o aplicativo consuma grandes quantidades de memória heap ao redimensionar a matriz subjacente para ajustar os dados de usuário. Quando dados são anexados a uma instância de um StringBuilder ou de um StringBuffer, a instância determinará se a matriz de caracteres de apoio tem espaço suficiente para armazenar os dados. Se os dados não forem ajustados, uma nova instância do StringBuilder ou do StringBuffer irá criar outra matriz com pelo menos o dobro do tamanho da matriz anterior e a matriz antiga permanecerá no heap até que seja coletada como lixo. Os invasores podem usar esse detalhe da implementação para executar um ataque de Negação de Serviço (Denial of Service – DoS).

Exemplo 1: Os dados controlados pelo usuário são anexados a uma instância do StringBuilder inicializada com o construtor padrão.


    ...
    StringBuilder sb = new StringBuilder();
    final String lineSeparator = System.lineSeparator();
    String[] labels = request.getParameterValues("label");
    for (String label : labels) {
        sb.append(label).append(lineSeparator);
    }
    ...

References

[1] DOS-1: Beware of activities that may use disproportionate resources Oracle

[2] MSC05-J. Do not exhaust heap space CERT

[3] Standards Mapping - CIS Azure Kubernetes Service Benchmark 2

[4] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 3.1

[5] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 1

[6] Standards Mapping - CIS Google Kubernetes Engine Benchmark normal

[7] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094

[8] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)

[9] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection

[10] Standards Mapping - OWASP Top 10 2004 A9 Application Denial of Service

[11] Standards Mapping - OWASP API 2023 API4 Unrestricted Resource Consumption

[12] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[13] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.1

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.1

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[21] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[22] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[23] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[24] Standards Mapping - SANS Top 25 2010 Risky Resource Management - CWE ID 754

[25] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I

[26] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I

[27] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I

[28] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I

[29] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I

[30] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP6080 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP6080 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002400 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002400 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002400 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002400 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002400 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002400 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002400 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002400 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002400 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002400 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002400 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002400 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II, APSC-DV-002530 CAT II

[46] Standards Mapping - Web Application Security Consortium Version 2.00 Denial of Service (WASC-10)

desc.dataflow.java.denial_of_service_stringbuilder

Abstract

Explanation

Anexar dados controlados pelo usuário a uma instância do StringBuilder ou do StringBuffer inicializada com o tamanho padrão da matriz de caracteres de apoio (16) pode fazer com que o aplicativo consuma grandes quantidades de memória heap ao redimensionar a matriz subjacente para ajustar os dados do usuário. Quando dados são anexados a uma instância de um StringBuilder ou de um StringBuffer, a instância determinará se a matriz de caracteres de apoio tem espaço suficiente para armazenar os dados. Se os dados não forem ajustados, uma nova instância do StringBuilder ou do StringBuffer irá criar outra matriz com pelo menos o dobro do tamanho da matriz anterior e a matriz antiga permanecerá no heap até que seja coletada como lixo. Os invasores podem usar esse detalhe da implementação para executar um ataque de Negação de Serviço (Denial of Service – DoS).

Exemplo 1: Os dados controlados pelo usuário são anexados a uma instância do StringBuilder inicializada com o construtor padrão.


    ...
    val sb = StringBuilder()
    val labels = request.getParameterValues("label")
    for (label in labels) {
        sb.appendln(label)
    }
    ...