Reino: Input Validation and Representation
Problemas de validação e representação da entrada são causados por metacaracteres, codificações alternativas e representações numéricas. Confiar na entrada resulta em problemas de segurança. Os problemas incluem: “Buffer Overflows”, ataques de “Cross-Site Scripting”, “SQL Injection”, entre outros.
gRPC Metadata Manipulation
Abstract
Um objeto
Metadata
do Google Remote Procedure Call (gRPC) é criado com base em uma fonte não confiável, o que pode permitir que um invasor controle campos de protocolo críticos.Explanation
A classe
Exemplo 1: O código a seguir mostra dados controláveis pelo usuário usados como entrada para um objeto
Metadata
é frequentemente usada para armazenar dados de cabeçalho para um protocolo subjacente usado pelo Google Remote Procedure Call (gRPC). Quando o protocolo subjacente é HTTP, o controle dos dados em um objeto Metadata
pode tornar o sistema vulnerável à Manipulação de Cabeçalho HTTP. Outros vetores de ataque são possíveis e são baseados principalmente no protocolo subjacente.Exemplo 1: O código a seguir mostra dados controláveis pelo usuário usados como entrada para um objeto
Metadata
do gRPC.
...
String badData = getUserInput();
Metadata headers = new Metadata();
headers.put(Metadata.Key.of("sample", Metadata.ASCII_STRING_MARSHALLER), badData);
...
desc.dataflow.java.grpc_metadata_manipulation