Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: O código a seguir imprime um rastreamento de pilha em um console de "Depuração" ou em um arquivo de log:

  try {
    ...
  }
  catch(e:Error) {
    trace(e.getStackTrace());
  }

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro diz ao invasor precisamente a que tipo de ataque o sistema é vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque SQL injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, o caminho de pesquisa pode implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: O seguinte código grava uma mensagem de exceção no log de depuração:

try {
    ...
} catch (Exception e) {
    System.Debug(LoggingLevel.ERROR, e.getMessage());
}

A mensagem de erro pode permitir que um adversário planeje um ataque. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de SQL Injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.
Exemplo 1: O código a seguir constrói uma cadeia de conexão de banco de dados, utiliza-a para criar uma nova conexão com o banco de dados e a grava no console.

string cs="database=northwind;server=mySQLServer...";
SqlConnection conn=new SqlConnection(cs);
...
Console.Writeline(cs);

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de injeção de SQL. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

Um vazamento interno de informações ocorre quando os dados do sistema ou as informações de depuração são enviados por meio de registro em log ou da impressão em um arquivo local, um console ou na tela.
Exemplo 1: O código a seguir imprime a variável de ambiente de caminho no fluxo de erros padrão:

  char* path = getenv("PATH");
  ...
  fprintf(stderr, "cannot find exe on path %s\n", path);

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro diz ao invasor precisamente a que tipo de ataque o sistema é vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque SQL injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, o caminho de pesquisa pode implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

Um vazamento interno de informações ocorre quando os dados do sistema ou as informações de depuração são enviados por meio de registro em log ou da impressão em um arquivo local, um console ou na tela.
Exemplo: O código a seguir solicita um despejo de transação de todas as áreas de armazenamento relacionadas à tarefa, a tabela de controle do terminal e uma área de dados especificada:

...
EXEC CICS DUMP TRANSACTION
  DUMPCODE('name')
  FROM (data-area)
  LENGTH (data-value)
END-EXEC.
...

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro diz ao invasor precisamente a que tipo de ataque o sistema é vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de SQL Injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo: O código a seguir grava um arquivo no sistema de arquivos local:

<cfscript>
    try { 
        obj = CreateObject("person"); 
    } 
    catch(any excpt) { 
        f = FileOpen("c:\log.txt", "write"); 
        FileWriteLine(f, "#excpt.Message#");
        FileClose(f);
    }
</cfscript>

Essas informações são gravadas em um arquivo de log. Em alguns casos, a mensagem diz ao invasor precisamente a que tipo de ataque o sistema é vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de SQL Injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: O código a seguir grava uma exceção em um arquivo local:

  final file = await File('example.txt').create();
  final raf = await file.open(mode: FileMode.write);
  final data = String.fromEnvironment("PASSWORD");
  raf.writeString(data);

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de SQL Injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

O vazamento de informações também é uma preocupação em um ambiente de computação móvel.

Um vazamento interno de informações ocorre quando os dados do sistema ou as informações de depuração são enviados por meio de registro em log ou da impressão em um arquivo local, um console ou na tela.
Exemplo 1: O código a seguir imprime a variável de ambiente de caminho no fluxo de erros padrão:

  path := os.Getenv("PATH")
  ...
  log.Printf("Cannot find exe on path %s\n", path)

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro informa ao invasor precisamente a qual tipo de ataque o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de SQL injection. Outras mensagens de erro podem revelar indicações mais indiretas sobre o sistema. No Example 1, o caminho de pesquisa pode implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e o nível de cuidado que os administradores dedicaram à configuração do programa.

Um vazamento externo de informações ocorre quando dados do sistema ou informações de depuração deixam o programa em direção a uma máquina remota através de uma conexão de rede ou soquete. Os vazamentos externos podem ajudar um invasor ao revelar dados específicos sobre os sistemas operacionais, os nomes de caminho completos, a existência de nomes de usuários ou os locais dos arquivos de configuração, e são mais sérios do que vazamentos de informações internas, que são mais difíceis de acessar para os invasores.

Exemplo 1: O código a seguir deixa vazar informações de Exceção na resposta HTTP:

protected void doPost (HttpServletRequest req, HttpServletResponse res) throws IOException {
    ...
    PrintWriter out = res.getWriter();
    try {
        ...
    } catch (Exception e) {
      out.println(e.getMessage());
    }
}

Essas informações podem ser expostas a um usuário remoto. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de injeção de SQL. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

O vazamento de informações também é uma preocupação em um ambiente de computação móvel. Com plataformas móveis, os aplicativos são baixados de várias fontes e são executados lado a lado no mesmo dispositivo. A probabilidade de execução de um malware junto com um aplicativo de banco é alta e é por isso que os autores de aplicativos precisam ser cuidadosos a respeito de quais informações eles incluem em mensagens endereçadas a outros aplicativos em execução no dispositivo.

Exemplo 2: O código a seguir transmite o rastreamento de pilha de uma exceção detectada para todos os receptores Android registrados.

...
try {
  ...
} catch (Exception e) {
    String exception = Log.getStackTraceString(e);
    Intent i = new Intent();
    i.setAction("SEND_EXCEPTION");
    i.putExtra("exception", exception);
    view.getContext().sendBroadcast(i);
}
...

Este é outro cenário específico ao ambiente móvel. A maioria dos dispositivos móveis agora implementa um protocolo NFC (Near-Field Communication) para o rápido compartilhamento de informações entre dispositivos que utilizam a comunicação por rádio. Ele funciona aproximando os dispositivos ou fazendo com que eles se toquem. Mesmo que o alcance de comunicação do NFC esteja limitado a apenas alguns centímetros, espionagens, modificação de dados e vários outros tipos de ataques são possíveis, já que o NFC, por si só, não garante a comunicação segura.

Exemplo 3: A plataforma Android fornece suporte para NFC. O código a seguir cria uma mensagem que é enviada ao outro dispositivo dentro do intervalo.

...
public static final String TAG = "NfcActivity";
private static final String DATA_SPLITTER = "__:DATA:__";
private static final String MIME_TYPE = "application/my.applications.mimetype";
...
TelephonyManager tm = (TelephonyManager)Context.getSystemService(Context.TELEPHONY_SERVICE);
String VERSION = tm.getDeviceSoftwareVersion();
...
NfcAdapter nfcAdapter = NfcAdapter.getDefaultAdapter(this);
if (nfcAdapter == null)
  return;

String text = TAG + DATA_SPLITTER + VERSION;
NdefRecord record = new NdefRecord(NdefRecord.TNF_MIME_MEDIA,
            MIME_TYPE.getBytes(), new byte[0], text.getBytes());
NdefRecord[] records = { record };
NdefMessage msg = new NdefMessage(records);
nfcAdapter.setNdefPushMessage(msg, this);
...

Uma mensagem NDEF (NFC Data Exchange Format) contém dados com tipos definidos, um URI ou uma carga de aplicativo personalizada. Se a mensagem contiver informações sobre o aplicativo, como seu nome, tipo MIME ou versão de software do dispositivo, essas informações poderão vazar para um intruso.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: O código a seguir grava uma exceção no fluxo de erro padrão:

var http = require('http');
...

http.request(options, function(res){
  ...
}).on('error', function(e){
  console.log('There was a problem with the request: ' + e);
});
...

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de injeção de SQL. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: O código a seguir grava uma exceção no fluxo de erro padrão:

try {
    ...
} catch (e: Exception) {
    e.printStackTrace()
}

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de injeção de SQL. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

O vazamento de informações também é uma preocupação em um ambiente de computação móvel.

Exemplo 2: O código a seguir registra o rastreamento de pilha de uma exceção detectada na plataforma Android.

...
try {
  ...
} catch (e: Exception) {
    Log.e(TAG, Log.getStackTraceString(e))
}
...

Um vazamento interno de informações ocorre quando os dados do sistema ou as informações de depuração são enviados por meio de registro em log ou da impressão em um arquivo local, um console ou na tela.
Exemplo 1: O código a seguir deixa vazar informações do sistema no log do sistema:

...
NSString* deviceID = [[UIDevice currentDevice] name];

NSLog(@"DeviceID: %@", deviceID);
...

No mundo móvel, outras áreas de interesse para a manutenção de informações do sistema surgem quando um dispositivo é perdido ou roubado. Uma vez em poder de um dispositivo iOS, um invasor pode acessar uma grande quantidade de dados conectando o dispositivo via USB. Arquivos como listas de propriedade iOS (iOS Property Lists, plists) e bancos de dados SQLite são facilmente acessados e podem revelar informações pessoais. Como regra geral, as informações relacionadas a privacidade não devem ser armazenadas sem proteção no sistema de arquivos.

Exemplo 2: Este código adiciona uma entrada deviceID à lista de padrões do usuário e os armazena imediatamente em um arquivo plist.

...
NSString* deviceID = [[UIDevice currentDevice] name];

[defaults setObject:deviceID forKey:@"deviceID"];
[defaults synchronize];
...

O código no Example 2 armazena informações do sistema contidas no dispositivo móvel em um arquivo plist desprotegido que é armazenado nesse dispositivo. Embora muitos desenvolvedores confiem em arquivos plist como um local de armazenamento seguro para todos os tipos de dados, convém não confiar neles implicitamente, particularmente nos casos em que as informações do sistema e a privacidade são uma grande preocupação, pois esses arquivos podem ser lidos por qualquer usuário que venha a se apossar do dispositivo.

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro diz ao invasor precisamente a que tipo de ataque o sistema é vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de SQL Injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: O código a seguir grava uma exceção no fluxo de erro padrão:

<?php
    ...
    echo "Server error! Printing the backtrace";
    debug_print_backtrace();
    ...
?>

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de injeção de SQL. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: Este código grava uma exceção no fluxo de saída padrão:

    try:
        ...
    except:
        print(sys.exc_info()[2])

Essas informações são despejadas em um console. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de injeção de SQL. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: O código a seguir grava uma exceção no fluxo de erro padrão:

...
begin
  log = Logger.new(STDERR)
  ...
rescue Exception
    log.info("Exception: " + $!)
...
end

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de injeção de SQL. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa. Naturalmente, outro problema com o Example 1 é resgatar a raiz Exception em vez de um tipo específico ou erro/exceção, significando que isso capturará todas as exceções, podendo causar outros efeitos colaterais desconsiderados.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo 1: O código a seguir imprime as informações do Sistema no fluxo de saída padrão:

...
println(Properties.osName)
...

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro fornece ao invasor o tipo exato de ataque ao qual o sistema está vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de injeção de SQL. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema. No Example 1, as informações vazadas podem implicar informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e a quantidade de cuidado que os administradores dedicaram à configuração do programa.

Um vazamento interno de informações ocorre quando os dados do sistema ou as informações de depuração são enviados por meio de registro em log ou da impressão em um arquivo local, um console ou na tela.



No mundo móvel, outras áreas de interesse para a manutenção de informações do sistema surgem quando um dispositivo é perdido ou roubado. Uma vez em poder de um dispositivo iOS, um invasor pode acessar uma grande quantidade de dados conectando o dispositivo via USB. Arquivos como listas de propriedade iOS (iOS Property Lists, plists) e bancos de dados SQLite são facilmente acessados e podem revelar informações pessoais. Como regra geral, as informações relacionadas a privacidade não devem ser armazenadas sem proteção no sistema de arquivos.

Exemplo: O seguinte código imprime o identificador do dispositivo nos logs do sistema:

let deviceName = UIDevice.currentDevice().name
...
NSLog("Device Identifier: %@", deviceName)

Dependendo da configuração do sistema, essas informações podem ser despejadas em um console, gravadas em um arquivo de log ou expostas para um usuário. Em alguns casos, a mensagem de erro diz ao invasor precisamente a que tipo de ataque o sistema é vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de SQL Injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema.

Um vazamento interno de informação ocorre quando dados do sistema ou informações de depuração são enviados para um arquivo, console ou tela local via impressão ou registro em log.

Exemplo: O código a seguir envia um objeto ASPError a um depurador de scripts, como o Microsoft Script Debugger:

...
Debug.Write Server.GetLastError()
...

Em alguns casos, a mensagem de erro diz ao invasor precisamente a que tipo de ataque o sistema é vulnerável. Por exemplo, uma mensagem de erro de banco de dados pode revelar que o aplicativo é vulnerável a um ataque de SQL Injection. Outras mensagens de erro podem revelar pistas mais indiretas sobre o sistema, como informações sobre o tipo de sistema operacional, os aplicativos instalados no sistema e o quão cuidadosos os administradores foram na configuração do programa.

O programa talvez não consiga liberar um recurso do sistema.

Vazamento de recursos têm pelo menos duas causas comuns:

- Condições de erro e outras circunstâncias excepcionais.

- Confusão acerca de qual parte do programa é responsável pela liberação do recurso.

A maioria dos problemas de recursos não liberados resulta em problemas gerais de confiabilidade de software. No entanto, se um invasor puder provocar intencionalmente um vazamento de recursos, talvez ele consiga lançar um ataque de negação de serviço esgotando o pool de recursos.

Exemplo: O método a seguir nunca fecha o identificador de arquivo que ele abre. O método finalize() para FileInputStream chama close() por fim, mas não há nenhuma garantia de quanto tempo será necessário antes que o método finalize() seja invocado. Em um ambiente muito ativo, isso pode fazer com que a JVM use todos os seus identificadores de arquivo.

private void processFile(String fName) throws FileNotFoundException, IOException {
  FileInputStream fis = new FileInputStream(fName);
  int sz;
  byte[] byteArray = new byte[BLOCK_SIZE];
  while ((sz = fis.read(byteArray)) != -1) {
    processBytes(byteArray, sz);
  }
}

O programa talvez não consiga liberar um recurso do sistema.


Vazamento de recursos têm pelo menos duas causas comuns:

- Condições de erro e outras circunstâncias excepcionais.

- Confusão acerca de qual parte do programa é responsável pela liberação do recurso.

A maioria dos problemas de recursos não liberados resulta em problemas gerais de confiabilidade de software. No entanto, se um invasor puder provocar intencionalmente um vazamento de recursos, talvez ele consiga lançar um ataque de negação de serviço esgotando o pool de recursos.

Exemplo 1: Este método nunca fecha o fluxo a partir do qual ele lê.

...
CFIndex numBytes;
do {
    UInt8 buf[bufferSize];
    numBytes = CFReadStreamRead(readStream, buf, sizeof(buf));
    if( numBytes > 0 ) {
        handleBytes(buf, numBytes);
    } else if( numBytes < 0 ) {
        CFStreamError error = CFReadStreamGetError(readStream);
        reportError(error);
    }
} while( numBytes > 0 );
...

O programa talvez não consiga liberar um recurso do sistema.

Os vazamentos de recursos têm pelo menos duas causas comuns:

- Condições de erro e outras circunstâncias excepcionais.

- Confusão acerca de qual parte do programa é responsável pela liberação do recurso.

A maioria dos problemas de recursos não liberados resulta em problemas gerais de confiabilidade de software. No entanto, se um invasor puder provocar intencionalmente um vazamento de recursos, talvez ele consiga lançar um ataque de negação de serviço esgotando o pool de recursos.

Exemplo: O método a seguir nunca fecha o identificador de arquivo que ele abre.

def readFile(filename: String): Unit = {
    val data = Source.fromFile(fileName).getLines.mkString
    // Use the data
}

O programa talvez não consiga liberar um recurso do sistema.


Vazamento de recursos têm pelo menos duas causas comuns:

- Condições de erro e outras circunstâncias excepcionais.

- Confusão acerca de qual parte do programa é responsável pela liberação do recurso.

A maioria dos problemas de recursos não liberados resulta em problemas gerais de confiabilidade de software. No entanto, se um invasor puder provocar intencionalmente um vazamento de recursos, talvez ele consiga lançar um ataque de negação de serviço esgotando o pool de recursos.

Exemplo 1: Este método nunca fecha o fluxo a partir do qual ele lê.

...
        func leak(reading input: InputStream) {
            input.open()
            let bufferSize = 1024
            let buffer = UnsafeMutablePointer<UInt8>.allocate(capacity: bufferSize)
            while input.hasBytesAvailable {
                let read = input.read(buffer, maxLength: bufferSize)
            }
            buffer.deallocate(capacity: bufferSize)
        }
...

Se um invasor puder fornecer valores que o aplicativo usará para determinar qual classe instanciar ou qual método invocar, o invasor poderá criar caminhos de fluxo de controle inesperados por meio do aplicativo. Isso pode permitir que o invasor ignore as verificações de autenticação ou controle de acesso ou, possivelmente, faça com que o aplicativo se comporte de maneira inesperada.

Exemplo: O método de ação a seguir inicia uma solicitação assíncrona para um serviço da Web externo e define a propriedade continuationMethod, que determina o nome do método a ser chamado ao receber uma resposta.

public Object startRequest() {
    Continuation con = new Continuation(40);

    Map<String,String> params = ApexPages.currentPage().getParameters();

    if (params.containsKey('contMethod')) {
        con.continuationMethod = params.get('contMethod');
    } else {
        con.continuationMethod = 'processResponse';
    }

    HttpRequest req = new HttpRequest();
    req.setMethod('GET');
    req.setEndpoint(LONG_RUNNING_SERVICE_URL);
    this.requestLabel = con.addHttpRequest(req);
    return con;
}

Essa implementação permite que a propriedade continuationMethod seja definida por parâmetros de solicitação de tempo de execução, o que permite que invasores chamem qualquer função que corresponda ao nome.

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada. Até mesmo a capacidade de controlar os argumentos transmitidos a um determinado método ou construtor pode proporcionar a um invasor astuto a vantagem necessária para organizar um ataque bem-sucedido.

Exemplo: Os programadores costumam usar o recurso de reflexão para implementar dispatchers de comandos. O exemplo a seguir mostra um dispatcher de comandos que não usa reflexão:

...
Dim ctl As String
Dim ao As New Worker()
ctl = Request.Form("ctl")
If (String.Compare(ctl,"Add") = 0) Then
        ao.DoAddCommand(Request)
Else If (String.Compare(ctl,"Modify") = 0) Then
        ao.DoModifyCommand(Request)
Else
        App.EventLog("No Action Found", 4)
End If
...

Um programador pode refatorar esse código para usar a reflexão, da seguinte maneira:

...
Dim ctl As String
Dim ao As New Worker()
ctl = Request.Form("ctl")
CallByName(ao, ctl, vbMethod, Request)
...

Inicialmente, a refatoração parece oferecer diversas vantagens. Há menos linhas de código, os blocos if/else foram totalmente eliminados e agora é possível adicionar novos tipos de comando sem modificar o expedidor de comandos.

No entanto, a refatoração permite que um invasor chame qualquer método implementado pelo objeto Worker. Se o dispatcher de comandos for responsável pelo controle de acesso, sempre que os programadores criarem um novo método na classe Worker, eles deverão modificar a lógica de controle de acesso do dispatcher. Se essa lógica de controle de acesso se tornar obsoleta, alguns métodos Worker não terão controle de acesso.

Uma maneira de resolver esse problema de controle de acesso é tornar o objeto Worker responsável pela execução da verificação de controle de acesso. Veja a seguir um exemplo do código novamente refatorado:

...
Dim ctl As String
Dim ao As New Worker()
ctl = Request.Form("ctl")
If (ao.checkAccessControl(ctl,Request) = True) Then
        CallByName(ao, "Do" & ctl & "Command", vbMethod, Request)
End If
...

Embora seja uma melhoria, isso incentiva uma abordagem descentralizada ao controle de acesso, facilitando erros de controle de acesso por parte dos programadores.

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada.

Essa situação torna-se um cenário apocalíptico quando o invasor pode carregar arquivos para um local que é exibido no caminho da biblioteca ou no caminho do aplicativo. Em qualquer uma dessas condições, o invasor pode usar o recurso de reflexão para introduzir no aplicativo um novo comportamento presumivelmente mal-intencionado.
Exemplo: Um motivo comum pelo qual os programadores utilizam a API de reflexão é para implementar seus próprios dispatchers de comandos. O exemplo a seguir mostra um dispatcher de comandos JNI que usa a reflexão para executar um método Java identificado por um valor lido a partir de uma solicitação CGI. Essa implementação permite que um invasor chame qualquer função definida em clazz.

char* ctl = getenv("ctl");
...
jmethodID mid = GetMethodID(clazz, ctl, sig);
status = CallIntMethod(env, clazz, mid, JAVA_ARGS);
...

Se um invasor puder fornecer valores que o aplicativo usará para determinar qual método invocar ou qual valor de campo recuperar, haverá a possibilidade de o invasor criar caminhos de fluxo de controle por meio do aplicativo que não foram planejados pelos desenvolvedores do aplicativo. Esse vetor de ataque pode permitir que o invasor ignore as verificações de autenticação ou controle de acesso ou, caso contrário, fazer com que o aplicativo se comporte de maneira inesperada.

Exemplo 1: Neste exemplo, o aplicativo recupera o nome de uma função a ser chamada de um argumento da linha de comando.

...
    func beforeExampleCallback(scope *Scope){
        input := os.Args[1]
        if input{
            scope.CallMethod(input)
        }
    }
...
    

Exemplo 2: De forma semelhante no exemplo anterior, o aplicativo usa o pacote reflect para obter o nome de uma função a ser chamada de um argumento da linha de comando.

...
    input := os.Args[1]
	var worker WokerType
	reflect.ValueOf(&worker).MethodByName(input).Call([]reflect.Value{})
...

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada. Até mesmo a capacidade de controlar os argumentos transmitidos a um determinado método ou construtor pode proporcionar a um invasor astuto a vantagem necessária para organizar um ataque bem-sucedido.

Essa situação se transformará em um cenário apocalíptico se o invasor puder carregar arquivos em um local exibido no caminho de classe do aplicativo ou se puder adicionar novas entradas ao caminho de classe do aplicativo. Em qualquer uma dessas condições, o invasor pode usar o recurso de reflexão para introduzir no aplicativo um novo comportamento presumivelmente mal-intencionado.
Exemplo: Um motivo comum pelo qual os programadores utilizam a API de reflexão é para implementar seus próprios dispatchers de comandos. O seguinte exemplo mostra um expedidor de comandos que não usa reflexão:

String ctl = request.getParameter("ctl");
Worker ao = null;
if (ctl.equals("Add")) {
  ao = new AddCommand();
} else if (ctl.equals("Modify")) {
  ao = new ModifyCommand();
} else {
  throw new UnknownActionError();
}
ao.doAction(request);

Um programador pode refatorar esse código para usar a reflexão, da seguinte maneira:

    String ctl = request.getParameter("ctl");
    Class cmdClass = Class.forName(ctl + "Command");
    Worker ao = (Worker) cmdClass.newInstance();
    ao.doAction(request);

Inicialmente, a refatoração parece oferecer diversas vantagens. Há menos linhas de código, os blocos if/else foram totalmente eliminados e agora é possível adicionar novos tipos de comando sem modificar o expedidor de comandos.

No entanto, a refatoração permite que um invasor instancie qualquer objeto que implementa a interface Worker. Se o expedidor de comandos ainda for responsável pelo controle de acesso, sempre que os programadores criarem uma nova classe que implementa a interface Worker, eles deverão se lembrar de modificar o código de controle de acesso do expedidor. Se o código de controle de acesso não for modificado, algumas classes Worker não terão controle de acesso.

Uma maneira de resolver esse problema de controle de acesso é tornar o objeto Worker responsável pela execução da verificação de controle de acesso. Veja a seguir um exemplo do código novamente refatorado:

String ctl = request.getParameter("ctl");
Class cmdClass = Class.forName(ctl + "Command");
Worker ao = (Worker) cmdClass.newInstance();
ao.checkAccessControl(request);
ao.doAction(request);

Embora seja uma melhoria, isso incentiva uma abordagem descentralizada ao controle de acesso, facilitando erros de controle de acesso por parte dos programadores.

Esse código também destaca outro problema de segurança com o uso da reflexão para construir um expedidor de comandos. Um invasor pode invocar o construtor padrão para qualquer tipo de objeto. Na verdade, o invasor nem mesmo é impedido de acessar objetos que implementam a interface Worker; o construtor padrão para qualquer objeto no sistema pode ser invocado. Se o objeto não implementar a interface Worker, um ClassCastException será lançado antes da atribuição a ao, mas, se o construtor realizar operações que funcionarem a favor do invasor, os danos já terão sido feitos. Embora esse cenário seja relativamente favorável em aplicativos simples, em aplicativos maiores, nos quais a complexidade cresce exponencialmente, não é absurdo considerar que um invasor possa encontrar um construtor a ser otimizado como parte de um ataque.

As verificações de acesso também podem ficar comprometidas mais abaixo na cadeia a execução do código quando certas APIs Java que realizam tarefas usando a verificação de carregadores de classe do chamador imediato são invocadas em objetos não confiáveis retornados por chamadas de reflexão. Essas APIs Java ignoram a verificação de SecurityManager que garante que todos os chamadores na cadeia de execução tenham as permissões de segurança necessárias. É necessário ter cautela para garantir que essas APIs não sejam invocadas nos objetos não confiáveis retornados pela reflexão, pois elas podem ignorar verificações de acesso de segurança e deixar o sistema vulnerável a ataques remotos. Para obter mais informações sobre essas APIs Java, consulte a Orientação 9 das orientações para codificação segura da linguagem de programação Java.

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada.

Exemplo 1: Uma razão comum pela qual os programadores usam a API do seletor é implementar o próprio despachante de comando deles. O exemplo a seguir mostra um dispatcher de comando Objective-C, que usa a reflexão para executar um método arbitrário identificado por um valor lido a partir de uma solicitação URL de esquema personalizado. Essa implementação permite a um invasor chamar qualquer função mediante a correspondência da assinatura do método definido na classe UIApplicationDelegate.

...
- (BOOL)application:(UIApplication *)application openURL:(NSURL *)url
  sourceApplication:(NSString *)sourceApplication annotation:(id)annotation  {

    NSString *query = [url query];
    NSString *pathExt = [url pathExtension];
    [self performSelector:NSSelectorFromString(pathExt) withObject:query];
...

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada. Até mesmo a capacidade de controlar os argumentos transmitidos a um determinado método ou construtor pode proporcionar a um invasor astuto a vantagem necessária para organizar um ataque bem-sucedido.

Essa situação se transformará em um cenário apocalíptico se o invasor puder carregar arquivos em um local exibido no caminho de classe do aplicativo ou se puder adicionar novas entradas ao caminho de classe do aplicativo. Em qualquer uma dessas condições, o invasor pode usar o recurso de reflexão para introduzir no aplicativo um novo comportamento presumivelmente mal-intencionado.
Exemplo: Um motivo comum pelo qual os programadores utilizam a API de reflexão é para implementar seus próprios dispatchers de comandos. O seguinte exemplo mostra um expedidor de comandos que não usa reflexão:

$ctl = $_GET["ctl"];
$ao = null;
if (ctl->equals("Add")) {
  $ao = new AddCommand();
} else if ($ctl.equals("Modify")) {
  $ao = new ModifyCommand();
} else {
  throw new UnknownActionError();
}
$ao->doAction(request);

Um programador pode refatorar esse código para usar a reflexão, da seguinte maneira:

    $ctl = $_GET["ctl"];
    $args = $_GET["args"];
    $cmdClass = new ReflectionClass(ctl . "Command");
    $ao = $cmdClass->newInstance($args);
    $ao->doAction(request);

Inicialmente, a refatoração parece oferecer diversas vantagens. Há menos linhas de código, os blocos if/else foram totalmente eliminados e agora é possível adicionar novos tipos de comando sem modificar o expedidor de comandos.

No entanto, a refatoração permite que um invasor instancie qualquer objeto que implementa a interface Worker. Se o expedidor de comandos ainda for responsável pelo controle de acesso, sempre que os programadores criarem uma nova classe que implementa a interface Worker, eles deverão se lembrar de modificar o código de controle de acesso do expedidor. Se o código de controle de acesso não for modificado, algumas classes Worker não terão controle de acesso.

Uma maneira de resolver esse problema de controle de acesso é tornar o objeto Worker responsável pela execução da verificação de controle de acesso. Veja a seguir um exemplo do código novamente refatorado:

	$ctl = $_GET["ctl"];
    $args = $_GET["args"];
    $cmdClass = new ReflectionClass(ctl . "Command");
    $ao = $cmdClass->newInstance($args);
	$ao->checkAccessControl(request);
	ao->doAction(request);

Embora seja uma melhoria, isso incentiva uma abordagem descentralizada ao controle de acesso, facilitando erros de controle de acesso por parte dos programadores.

Esse código também destaca outro problema de segurança com o uso da reflexão para construir um expedidor de comandos. Um invasor pode invocar o construtor padrão para qualquer tipo de objeto. Na verdade, o invasor nem mesmo é impedido de acessar objetos que implementam a interface Worker; o construtor padrão para qualquer objeto no sistema pode ser invocado. Se o objeto não implementar a interface Worker, um ClassCastException será lançado antes da atribuição a $ao, mas, se o construtor realizar operações que funcionarem a favor do invasor, os danos já terão sido feitos. Embora esse cenário seja relativamente favorável em aplicativos simples, em aplicativos maiores, nos quais a complexidade cresce exponencialmente, não é absurdo considerar que um invasor possa encontrar um construtor a ser otimizado como parte de um ataque.

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada. Até mesmo a capacidade de controlar os argumentos transmitidos a um determinado método ou construtor pode proporcionar a um invasor astuto a vantagem necessária para organizar um ataque bem-sucedido.

Essa situação se transformará em um cenário apocalíptico se o invasor puder carregar arquivos em um local exibido no caminho de classe do aplicativo ou se puder adicionar novas entradas ao caminho de classe do aplicativo. Em qualquer uma dessas condições, o invasor pode usar o recurso de reflexão para introduzir no aplicativo um novo comportamento presumivelmente mal-intencionado.

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir ao invasor ignorar a autenticação, ignorar as verificações de controle de acesso ou, de outra maneira, fazer com que o aplicativo se comporte de maneira inesperada. Até mesmo a capacidade de controlar os argumentos transmitidos a um determinado método ou construtor pode proporcionar a um invasor astuto a vantagem necessária para organizar um ataque bem-sucedido.

Essa situação se tornará um cenário apocalíptico se o invasor puder carregar arquivos em um local exibido no caminho de carregamento do aplicativo ou adicionar novas entradas a esse caminho. Em qualquer uma dessas condições, o invasor pode usar o recurso de reflexão para introduzir no aplicativo um novo comportamento presumivelmente mal-intencionado.
Exemplo: Uma razão comum pela qual os programadores usam a reflexão é implementar o próprio despachante de comando. O seguinte exemplo mostra um expedidor de comandos que não usa reflexão:

ctl = req['ctl']
if ctl=='add'
  addCommand(req)
elsif ctl=='modify'
  modifyCommand(req)
else
  raise UnknownCommandError.new
end

Um programador pode refatorar esse código para usar a reflexão, da seguinte maneira:

ctl = req['ctl']
ctl << "Command"
send(ctl)

Inicialmente, a refatoração parece oferecer diversas vantagens. Há menos linhas de código, os blocos if/else foram totalmente eliminados e agora é possível adicionar novos tipos de comando sem modificar o expedidor de comandos.

No entanto, a refatoração permite a um invasor executar qualquer método que termine com a palavra "Command". Caso o distribuidor de comando ainda seja responsável pelo controle de acesso, sempre que os programadores criarem um novo método que termine com "Command", eles deverão se lembrar de modificar o código de controle de acesso do despachante. Mesmo assim, a prática comum quando se tem vários métodos de nome semelhante pode ser criá-los dinamicamente ao usar define_method(), ou pode ser chamá-los ao substituir missing_method(). Fazer a auditoria e o rastreio desses métodos assim como de que maneira o código de controle é utilizado com eles é muito difícil e, ao considerar essa situação, ela também dependerá de quais outros códigos de biblioteca estão carregados; isso fará com que essa tarefa seja quase impossível de realizar corretamente.

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada. Até mesmo a capacidade de controlar os argumentos transmitidos a um determinado método ou construtor pode proporcionar a um invasor astuto a vantagem necessária para organizar um ataque bem-sucedido.

Essa situação se transformará em um cenário apocalíptico se o invasor puder carregar arquivos em um local exibido no caminho de classe do aplicativo ou se puder adicionar novas entradas ao caminho de classe do aplicativo. Em qualquer uma dessas condições, o invasor pode usar o recurso de reflexão para introduzir no aplicativo um novo comportamento presumivelmente mal-intencionado.
Exemplo: Um motivo comum pelo qual os programadores utilizam a API de reflexão é para implementar seus próprios expedidores de comandos. O exemplo a seguir mostra um expedidor de comandos que usa reflexão:

def exec(ctl: String) = Action { request =>
    val cmdClass = Platform.getClassForName(ctl + "Command")
    Worker ao = (Worker) cmdClass.newInstance()
    ao.doAction(request)
    ...
}

Inicialmente, a refatoração parece oferecer diversas vantagens. Há menos linhas de código, os blocos if/else foram totalmente eliminados e agora é possível adicionar novos tipos de comando sem modificar o expedidor de comandos.

No entanto, a refatoração permite que um invasor instancie qualquer objeto que implementa a interface Worker. Se o expedidor de comandos ainda for responsável pelo controle de acesso, sempre que os programadores criarem uma nova classe que implementa a interface Worker, eles deverão se lembrar de modificar o código de controle de acesso do expedidor. Se o código de controle de acesso não for modificado, algumas classes Worker não terão controle de acesso.

Uma maneira de resolver esse problema de controle de acesso é tornar o objeto Worker responsável pela execução da verificação de controle de acesso. Veja a seguir um exemplo do código novamente refatorado:

def exec(ctl: String) = Action { request =>
    val cmdClass = Platform.getClassForName(ctl + "Command")
    Worker ao = (Worker) cmdClass.newInstance()
    ao.checkAccessControl(request);
    ao.doAction(request)
    ...
}

Embora seja uma melhoria, isso incentiva uma abordagem descentralizada ao controle de acesso, facilitando erros de controle de acesso por parte dos programadores.

Esse código também destaca outro problema de segurança com o uso da reflexão para construir um expedidor de comandos. Um invasor pode invocar o construtor padrão para qualquer tipo de objeto. Na verdade, o invasor nem mesmo é impedido de acessar objetos que implementam a interface Worker; o construtor padrão para qualquer objeto no sistema pode ser invocado. Se o objeto não implementar a interface Worker, um ClassCastException será lançado antes da atribuição a ao, mas, se o construtor realizar operações que funcionarem a favor do invasor, os danos já terão sido feitos. Embora esse cenário seja relativamente favorável em aplicativos simples, em aplicativos maiores, nos quais a complexidade cresce exponencialmente, não é absurdo considerar que um invasor possa encontrar um construtor a ser otimizado como parte de um ataque.

As verificações de acesso também podem ficar comprometidas mais abaixo na cadeia a execução do código quando certas APIs Java que realizam tarefas usando a verificação de carregadores de classe do chamador imediato são invocadas em objetos não confiáveis retornados por chamadas de reflexão.Essas APIs Java ignoram a verificação de SecurityManager que garante que todos os chamadores na cadeia de execução tenham as permissões de segurança necessárias.É necessário ter cautela para garantir que essas APIs não sejam invocadas nos objetos não confiáveis retornados pela reflexão, pois elas podem ignorar verificações de acesso de segurança e deixar o sistema vulnerável a ataques remotos.Para obter mais informações sobre essas APIs Java, consulte a Orientação 9 das orientações para codificação segura da linguagem de programação Java.

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada.

Exemplo 1: Uma razão comum pela qual os programadores usam a API do seletor é implementar o próprio despachante de comando deles. O exemplo a seguir mostra um dispatcher de comando Swift que usa a reflexão para executar um método arbitrário identificado por um valor lido de uma solicitação de esquema de URL personalizada. Essa implementação permite a um invasor chamar qualquer função mediante a correspondência da assinatura do método definido na classe UIApplicationDelegate.

func application(app: UIApplication, openURL url: NSURL, options: [String : AnyObject]) -> Bool {
    ...
    let query = url.query
    let pathExt = url.pathExtension
    let selector = NSSelectorFromString(pathExt!)
    performSelector(selector, withObject:query)
    ...
}

Se um invasor puder fornecer valores que, em seguida, forem usados pelo aplicativo para determinar qual classe instanciar ou qual método invocar, existirá o potencial de que esse invasor crie caminhos de fluxo de controle através do aplicativo que não foram planejados pelos desenvolvedores desse aplicativo. Esse vetor de ataque pode permitir que o invasor ignore verificações de autenticação ou controle de acesso ou, em outros casos, pode fazer com que o aplicativo se comporte de maneira inesperada. Até mesmo a capacidade de controlar os argumentos transmitidos a um determinado método ou construtor pode proporcionar a um invasor astuto a vantagem necessária para organizar um ataque bem-sucedido.

Exemplo: Um motivo comum pelo qual os programadores utilizam o CallByName é para implementar o próprio dispatcher de comandos. O seguinte exemplo mostra um dispatcher de comandos que não utiliza a função CallByName:

...
Dim ctl As String
Dim ao As new Worker
ctl = Request.Form("ctl")
If String.Compare(ctl,"Add") = 0 Then
	ao.DoAddCommand Request
Else If String.Compare(ctl,"Modify") = 0 Then
	ao.DoModifyCommand Request
Else
	App.EventLog "No Action Found", 4
End If
...

Um programador pode refatorar esse código para usar a reflexão, da seguinte maneira:

...
Dim ctl As String
Dim ao As Worker
ctl = Request.Form("ctl")
CallByName ao, ctl, vbMethod, Request
...

Inicialmente, a refatoração parece oferecer diversas vantagens. Há menos linhas de código, os blocos if/else foram totalmente eliminados e agora é possível adicionar novos tipos de comando sem modificar o expedidor de comandos.

No entanto, a refatoração permite que um invasor chame qualquer método implementado pelo objeto Worker. Se o dispatcher de comandos ainda for responsável pelo controle de acesso, sempre que os programadores criarem um novo método na classe Worker, eles deverão se lembrar de modificar o código de controle de acesso do dispatcher. Se eles não conseguirem modificar o código de controle de acesso, alguns métodos Worker não terão nenhum controle de acesso.

Uma maneira de resolver esse problema de controle de acesso é tornar o objeto Worker responsável pela execução da verificação de controle de acesso. Veja a seguir um exemplo do código novamente refatorado:

...
Dim ctl As String
Dim ao As Worker
ctl = Request.Form("ctl")
If ao.checkAccessControl(ctl,Request) = True Then
	CallByName ao, "Do" & ctl & "Command", vbMethod, Request
End If
...

Embora seja uma melhoria, isso incentiva uma abordagem descentralizada ao controle de acesso, facilitando erros de controle de acesso por parte dos programadores.

Uma injeção de Entidade Externa XML (XXE) ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são gravados em um elemento <ENTITY> da DTD (Definição de Tipo de Documento) em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No melhor dos casos, um invasor pode ser capaz de inserir referências a entidades aninhadas e fazer com que um analisador XML consuma quantidades cada vez maiores de recursos da CPU. Em casos mais perniciosos da injeção de entidades externas XML, um invasor pode ser capaz de adicionar elementos XML que expõem o conteúdo de recursos do sistema de arquivos local ou que revelam a existência de recursos de rede internos.

Exemplo 1: veja a seguir um código Objective-C que é vulnerável a ataques de XXE:

- (void) parseSomeXML: (NSString *) rawXml {

    BOOL success;
    NSData *rawXmlConvToData = [rawXml dataUsingEncoding:NSUTF8StringEncoding];
    NSXMLParser *myParser = [[NSXMLParser alloc] initWithData:rawXmlConvToData];
    [myParser setShouldResolveExternalEntities:YES];
    [myParser setDelegate:self];
}

Suponha que um invasor seja capaz de controlar o conteúdo de rawXml de tal forma que o XML tenha a seguinte aparência:

 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Quando o XML for avaliado pelo servidor, o elemento <foo> incluirá o conteúdo do arquivo boot.ini.

Ataques de Entidades Externas XML tiram proveito de um recurso XML para criar documentos dinamicamente na ocasião do processamento. Uma entidade XML permite a inclusão de dados dinamicamente a partir de um determinado recurso. Entidades externas permitem que um documento XML inclua dados de um URI externo. A menos que configuradas para fazerem o contrário, entidades externas forçam o analisador XML a acessar o recurso especificado pelo URI, por exemplo, um arquivo na máquina local ou em um sistema remoto. Esse comportamento expõe o aplicativo a ataques de XXE (Entidades Externas XML), que podem ser usados para realizar a negação de serviço do sistema local, obter acesso não autorizado a arquivos na máquina local, fazer a varredura de máquinas remotas e realizar a negação de serviço de sistemas remotos.

O seguinte documento XML mostra um exemplo de ataque de XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>

Esse exemplo poderá travar o servidor (em um sistema UNIX), se o analisador de XML tentar substituir a entidade pelo conteúdo do arquivo /dev/random.

Os ataques de Entidade Externa XML se beneficiam de um recurso XML para criar documentos dinamicamente em tempo de execução. Uma entidade XML permite a inclusão de dados dinamicamente de um recurso específico. Entidades externas permitem que um documento XML inclua dados de um URI externo. A menos que configuradas para fazerem o contrário, entidades externas forçam o analisador XML a acessar o recurso especificado pelo URI, como um arquivo no computador local ou em um sistema remoto. Esse comportamento expõe o aplicativo a ataques de XXE (Entidades Externas XML), que permite aos invasores realizar a negação de serviço do sistema local, obter acesso não autorizado a arquivos na máquina local, fazer a varredura de computadores remotos e realizar a negação de serviço de sistemas remotos.


Exemplo 1: O documento XML a seguir mostra um exemplo de um ataque de XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>

Esse exemplo poderá travar o servidor (em um sistema UNIX) se o analisador XML tentar substituir a entidade pelo conteúdo do arquivo /dev/random.

Uma injeção de Entidade Externa XML (XXE) ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são gravados em um elemento <ENTITY> da DTD (Definição de Tipo de Documento) em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No melhor dos casos, um invasor pode ser capaz de inserir referências a entidades aninhadas e fazer com que um analisador XML consuma quantidades cada vez maiores de recursos da CPU. Em casos mais perniciosos da injeção de entidades externas XML, um invasor pode ser capaz de adicionar elementos XML que expõem o conteúdo de recursos do sistema de arquivos local ou que revelam a existência de recursos de rede internos.

Exemplo 1:estes são alguns códigos vulneráveis a ataques XXE:

- (void) parseSomeXML: (NSString *) rawXml {

    BOOL success;
    NSData *rawXmlConvToData = [rawXml dataUsingEncoding:NSUTF8StringEncoding];
    NSXMLParser *myParser = [[NSXMLParser alloc] initWithData:rawXmlConvToData];
    [myParser setShouldResolveExternalEntities:YES];
    [myParser setDelegate:self];
}

Suponha que um invasor seja capaz de controlar o conteúdo de rawXml de tal forma que o XML tenha a seguinte aparência:

 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Quando o XML for avaliado pelo servidor, o elemento <foo> incluirá o conteúdo do arquivo boot.ini.

Uma injeção de Entidade Externa XML (XXE) ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são gravados em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No caso mais benigno, um invasor pode ser capaz de inserir referências de entidade aninhada e fazer com que um analisador XML consuma cada vez mais quantidades de recursos da CPU. Em casos mais nefastos de injeção de XXE, um invasor pode ser capaz de adicionar elementos XML que expõem o conteúdo de recursos do sistema de arquivos local, revelam a existência de recursos de rede interna ou exponha conteúdo back-end em si.

Exemplo 1: Estes são alguns códigos vulneráveis a ataques XXE:

Pressuponha que um invasor possa controlar o XML de entrada para o seguinte código:

...
<?php
$goodXML = $_GET["key"];
$doc = simplexml_load_string($goodXml);
echo $doc->testing;
?>
...

Agora suponha que o XML a seguir é passado pelo invasor para o código no Example 2:

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Quando o XML é processado, o conteúdo do elemento <foo> é preenchido com o conteúdo do arquivo boot.ini do sistema. O invasor pode usar elementos XML que são devolvidos ao cliente para roubar dados ou obter informações sobre a existência de recursos de rede.

Os ataques de Entidades Externas XML se beneficiam de um recurso XML para criar documentos dinamicamente em tempo de execução. Uma entidade XML permite a inclusão de dados dinamicamente de um recurso específico. Entidades externas permitem que um documento XML inclua dados de um URI externo. A menos que configuradas para fazerem o contrário, entidades externas forçam o analisador XML a acessar o recurso especificado pelo URI, como um arquivo no computador local ou em um sistema remoto. Esse comportamento expõe o aplicativo a ataques de XXE (Entidades Externas XML), que os invasores podem usar para realizar a negação de serviço do sistema local, obter acesso não autorizado a arquivos na máquina local, fazer a varredura de computadores remotos e realizar a negação de serviço de sistemas remotos.


Exemplo 1: O seguinte documento XML mostra um exemplo de ataque de XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///dev/random" >]><foo>&xxe;</foo>

Esse exemplo poderá travar o servidor (em um sistema UNIX), se o analisador de XML tentar substituir a entidade pelo conteúdo do arquivo /dev/random.

Ataques de Entidades Externas XML tiram proveito de um recurso XML para criar documentos dinamicamente na ocasião do processamento. Uma entidade XML permite a inclusão de dados dinamicamente a partir de um determinado recurso. Entidades externas permitem que um documento XML inclua dados de um URI externo. A menos que configuradas para fazerem o contrário, entidades externas forçam o analisador XML a acessar o recurso especificado pelo URI, por exemplo, um arquivo na máquina local ou em um sistema remoto. Esse comportamento expõe o aplicativo a ataques de XXE (Entidades Externas XML), que podem ser usados para realizar a negação de serviço do sistema local, obter acesso não autorizado a arquivos na máquina local, fazer a varredura de máquinas remotas e realizar a negação de serviço de sistemas remotos.

O seguinte documento XML mostra um exemplo de ataque de XXE.

<?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>

O documento XML de exemplo lerá o conteúdo de /etc/passwd e o incluirá no documento.

Exemplo 1:O código a seguir usa um analisador XML não seguro para processar uma entrada não confiável a partir de uma solicitação HTTP.

def readFile() = Action { request =>
    val xml = request.cookies.get("doc")
    val doc = XMLLoader.loadString(xml)
    ...
}

Uma injeção de Entidade Externa XML (XXE) ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são gravados em um elemento <ENTITY> da DTD (Definição de Tipo de Documento) em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No melhor dos casos, um invasor pode ser capaz de inserir referências a entidades aninhadas e fazer com que um analisador XML consuma quantidades cada vez maiores de recursos da CPU. Em casos mais perniciosos da injeção de entidades externas XML, um invasor pode ser capaz de adicionar elementos XML que expõem o conteúdo de recursos do sistema de arquivos local ou que revelam a existência de recursos de rede internos.

Exemplo 1:estes são alguns códigos vulneráveis a ataques XXE:

func parseXML(xml: String) {
    parser = NSXMLParser(data: rawXml.dataUsingEncoding(NSUTF8StringEncoding)!)
    parser.delegate = self
    parser.shouldResolveExternalEntities = true
    parser.parse()
}

Suponha que um invasor seja capaz de controlar o conteúdo de rawXml de tal forma que o XML tenha a seguinte aparência:

 <?xml version="1.0" encoding="ISO-8859-1"?>
 <!DOCTYPE foo [
   <!ELEMENT foo ANY >
   <!ENTITY xxe SYSTEM "file:///c:/boot.ini" >]><foo>&xxe;</foo>

Quando o XML for avaliado pelo servidor, o elemento <foo> incluirá o conteúdo do arquivo boot.ini.

Uma injeção de XML ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No melhor dos casos, um invasor pode ser capaz de inserir tags estranhas e fazer com que um analisador de XML lance uma exceção. Em casos mais perniciosos de injeção de XML, um invasor pode ser capaz de adicionar elementos XML que alteram credenciais de autenticação ou modificam preços em um banco de dados de comércio eletrônico XML. Em alguns casos, a injeção de XML pode provocar criação de scripts entre sites ou avaliação de código dinâmico.

Exemplo 1:

Suponha que um invasor seja capaz de controlar shoes no seguinte XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Agora, suponha que esse XML está incluído em uma solicitação de serviço Web back-end para efetuar um pedido de um par de sapatos. Suponha que o invasor modifique seu pedido e substitua shoes com por shoes</item><price>1.00</price><item>shoes. O novo XML teria a seguinte aparência:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Ao usar analisadores SAX, o valor a partir da segunda tag <price> substitui o valor da primeira tag <price>. Isso permite que o invasor compre um par de sapatos de $100 por apenas $1.

Uma injeção de XML ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são gravados em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No melhor dos casos, um invasor pode inserir tags estranhas e fazer com que um analisador de XML lance uma exceção. Em casos mais perniciosos de injeção de XML, um invasor pode adicionar elementos XML que alteram credenciais de autenticação ou modificam preços em um banco de dados de comércio eletrônico XML. Às vezes, a injeção de XML pode provocar criação de scripts entre sites ou avaliação de código dinâmico.

Exemplo 1:

Suponha que um invasor possa controlar shoes no seguinte XML:

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Agora, suponha que esse XML esteja incluído em uma solicitação de serviço Web back-end para efetuar um pedido de um par de sapatos. Suponha que o invasor modifique seu pedido e substitua shoes com por shoes</item><price>1.00</price><item>shoes. O novo XML teria a seguinte aparência:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Ao usar analisadores SAX, o valor a partir da segunda tag &lt;price&gt; substitui o valor da primeira tag <price>. Isso permite que o invasor compre um par de sapatos de $100 por apenas $1.

Uma injeção de XML ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são gravados em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No melhor dos casos, um invasor pode ser capaz de inserir tags estranhas e fazer com que um analisador de XML lance uma exceção. Em casos mais perniciosos de injeção de XML, um invasor pode ser capaz de adicionar elementos XML que alteram credenciais de autenticação ou modificam preços em um banco de dados de comércio eletrônico XML. Em alguns casos, a injeção de XML pode provocar criação de scripts entre sites ou avaliação de código dinâmico.

Exemplo 1:

Suponha que um invasor seja capaz de controlar shoes no seguinte XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Agora, suponha que esse XML está incluído em uma solicitação de serviço Web back-end para efetuar um pedido de um par de sapatos. Suponha que o invasor modifique seu pedido e substitua shoes com por shoes</item><price>1.00</price><item>shoes. O novo XML teria a seguinte aparência:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Ao usar analisadores SAX, o valor a partir da segunda tag <price> substitui o valor da primeira tag <price>. Isso permite que o invasor compre um par de sapatos de $100 por apenas $1.

Uma injeção de XML ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No melhor dos casos, um invasor pode ser capaz de inserir tags estranhas e fazer com que um analisador de XML lance uma exceção. Em casos mais perniciosos de injeção de XML, um invasor pode ser capaz de adicionar elementos XML que alteram credenciais de autenticação ou modificam preços em um banco de dados de comércio eletrônico XML. Em alguns casos, a injeção de XML pode provocar criação de scripts entre sites ou avaliação de código dinâmico.

Exemplo 1:

Suponha que um invasor possa controlar shoes no XML a seguir.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Agora, suponha que esse XML está incluído em uma solicitação de serviço Web back-end para efetuar um pedido de um par de sapatos. Suponha que o invasor modifique seu pedido e substitua shoes com por shoes</item><price>1.00</price><item>shoes. O novo XML teria a seguinte aparência:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Isso pode permitir que um invasor compre um par de sapatos que custam US$100,00 por US$1,00.

Uma injeção de XML ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um documento XML.

Em geral, os aplicativos usam o XML para armazenar dados ou enviar mensagens. Quando usados para armazenar dados, documentos XML são frequentemente tratados como bancos de dados e podem conter informações confidenciais. Mensagens XML são muitas vezes utilizadas em serviços Web e também podem ser usadas para transmitir informações confidenciais. Mensagens XML podem até mesmo ser usadas para enviar credenciais de autenticação.

A semântica de documentos e mensagens XML poderá ser alterada se um invasor tiver a capacidade de escrever XML bruto. No melhor dos casos, um invasor pode ser capaz de inserir tags estranhas e fazer com que um analisador de XML lance uma exceção. Em casos mais perniciosos de injeção de XML, um invasor pode ser capaz de adicionar elementos XML que alteram credenciais de autenticação ou modificam preços em um banco de dados de comércio eletrônico XML. Em alguns casos, a injeção de XML pode provocar criação de scripts entre sites ou avaliação de código dinâmico.

Exemplo 1:

Suponha que um invasor seja capaz de controlar shoes no seguinte XML.

<order>
   <price>100.00</price>
   <item>shoes</item>
</order>

Agora, suponha que esse XML está incluído em uma solicitação de serviço Web back-end para efetuar um pedido de um par de sapatos. Suponha que o invasor modifique seu pedido e substitua shoes com por shoes</item><price>1.00</price><item>shoes. O novo XML teria a seguinte aparência:

<order>
    <price>100.00</price>
    <item>shoes</item><price>1.00</price><item>shoes</item>
</order>

Ao usar analisadores SAX, o valor a partir da segunda tag <price> substitui o valor da primeira tag <price>. Isso permite que o invasor compre um par de sapatos de $100 por apenas $1.