Uma API é um contrato entre quem chama e o que se chama. As formas mais comuns de abuso de API ocorrem quando o responsável pela chamada não respeita sua parte do contrato. Por exemplo, se um programa não chama chdir() após chamar chroot(), ele viola o contrato que especifica como alterar o diretório raiz ativo de forma segura. Outro bom exemplo de abuso de biblioteca é esperar que o elemento chamado retorne informações confiáveis de DNS ao responsável pela chamada. Nesse caso, o responsável pela chamada abusa a API do elemento chamado ao fazer certas suposições sobre seu comportamento (isto é, que o valor de retorno pode ser usado para fins de autenticação). A outra parte também pode violar o contrato entre quem chama e o que se chama. Por exemplo, se um programador definir SecureRandom como subclasse e retornar um valor não aleatório, o contrato será violado.
IPAddress hostIPAddress = IPAddress.Parse(RemoteIpAddress);
IPHostEntry hostInfo = Dns.GetHostByAddress(hostIPAddress);
if (hostInfo.HostName.EndsWith("trustme.com")) {
trusted = true;
}
getlogin()
é fácil de falsificar. Não confie no nome que ela retorna.getlogin()
deve retornar uma string contendo o nome do usuário atualmente conectado ao terminal, mas um invasor pode fazer com que getlogin()
retorne o nome de qualquer usuário conectado à máquina. Não confie no nome retornado por getlogin()
ao tomar decisões de segurança.getlogin()
para determinar se um usuário é ou não confiável. Isso é facilmente contestado.
pwd = getpwnam(getlogin());
if (isTrustedGroup(pwd->pw_gid)) {
allow();
} else {
deny();
}
String ip = request.getRemoteAddr();
InetAddress addr = InetAddress.getByName(ip);
if (addr.getCanonicalHostName().endsWith("trustme.com")) {
trusted = true;
}
Boolean.getBoolean()
é muitas vezes confundido com chamadas de métodos Boolean.valueOf()
ou Boolean.parseBoolean()
.Boolean.getBoolean()
é muitas vezes má utilizada, pois presume-se que ela retorne o valor booliano representado pelo argumento de string especificado. No entanto, conforme indicado no Javadoc, o método Boolean.getBoolean(String)
"retornará true se, e somente se, a propriedade do sistema nomeada pelo argumento existir e for igual à string 'true'".Boolean.valueOf(String)
ou Boolean.parseBoolean(String)
.Boolean.getBoolean(String)
não converte uma primitiva de String. Ele apenas converte a propriedade do sistema.
...
String isValid = "true";
if ( Boolean.getBoolean(isValid) ) {
System.out.println("TRUE");
}
else {
System.out.println("FALSE");
}
...
GetChars
nas classes Decoder
& Encoding
, e o método GetBytes
nas classes Encoder
& Encoding
no .NET Framework executam internamente a aritmética de ponteiro nas matrizes char e byte para converter o intervalo de caracteres em um intervalo de bytes e vice-versa.
out.println("x = " + encoder.encodeForJavaScript(input) + ";");
...
unichar ellipsis = 0x2026;
NSString *myString = [NSString stringWithFormat:@"My Test String%C", ellipsis];
NSData *asciiData = [myString dataUsingEncoding:NSASCIIStringEncoding allowLossyConversion:YES];
NSString *asciiString = [[NSString alloc] initWithData:asciiData encoding:NSASCIIStringEncoding];
NSLog(@"Original: %@ (length %d)", myString, [myString length]);
NSLog(@"Best-fit-mapped: %@ (length %d)", asciiString, [asciiString length]);
// output:
// Original: My Test String... (length 15)
// Best-fit-mapped: My Test String... (length 17)
...
...
let ellipsis = 0x2026;
let myString = NSString(format:"My Test String %C", ellipsis)
let asciiData = myString.dataUsingEncoding(NSASCIIStringEncoding, allowLossyConversion:true)
let asciiString = NSString(data:asciiData!, encoding:NSASCIIStringEncoding)
NSLog("Original: %@ (length %d)", myString, myString.length)
NSLog("Best-fit-mapped: %@ (length %d)", asciiString!, asciiString!.length)
// output:
// Original: My Test String ... (length 16)
// Best-fit-mapped: My Test String ... (length 18)
...
_alloca()
pode lançar uma exceção de estouro de pilha, possivelmente travando o programa._alloca()
aloca memória na pilha. Se uma solicitação de alocação for muito grande para o espaço de pilha disponível, _alloca()
lançará uma exceção. Se essa exceção não for detectada, o programa travará, possivelmente permitindo um ataque de negação de serviço._alloca()
tornou-se preterida a partir do Microsoft Visual Studio 2005(R). Ela foi substituída pela função _alloca_s()
mais segura.MAX_PATH
bytes de comprimento, mas você deve verificar a documentação para cada função individualmente. Se o buffer não for grande o suficiente para armazenar o resultado da manipulação, poderá ocorrer um buffer overflow.
char *createOutputDirectory(char *name) {
char outputDirectoryName[128];
if (getCurrentDirectory(128, outputDirectoryName) == 0) {
return null;
}
if (!PathAppend(outputDirectoryName, "output")) {
return null;
}
if (!PathAppend(outputDirectoryName, name)) {
return null;
}
if (SHCreateDirectoryEx(NULL, outputDirectoryName, NULL)
!= ERROR_SUCCESS) {
return null;
}
return StrDup(outputDirectoryName);
}
output\<name>
" no diretório atual e retorna uma cópia de heap alocado do seu nome. Para a maioria dos valores do diretório atual e do parâmetro "name", essa função funcionará corretamente. No entanto, se o parâmetro name
for particularmente longo, a segunda chamada para PathAppend()
poderá causar um estouro do buffer de outputDirectoryName
, que é menor que MAX_PATH
bytes.umask()
é muitas vezes confundida com o argumento para chmod()
.umask()
começa com a instrução falsa:chmod()
, no qual o argumento fornecido pelo usuário especifica os bits a serem habilitados no arquivo especificado, o comportamento de umask()
é, na verdade, o oposto: umask()
define umask como ~mask & 0777
.umask()
continua e descreve o uso correto de umask()
:open()
para definir as permissões de arquivo iniciais em um arquivo recém-criado. Especificamente, as permissões em umask estão desativadas no argumento de modo para open(2)
(e portanto, por exemplo, o valor padrão comum de umask 022 faz com que novos arquivos sejam criados com permissões 0666 & ~022 = 0644 = rw-r--r-- no caso usual em que o modo é especificado como 0666)."
...
struct stat output;
int ret = stat(aFilePath, &output);
// error handling omitted for this example
struct timespec accessTime = output.st_atime;
...
umask()
é muitas vezes confundida com o argumento para chmod()
.umask()
começa com a instrução falsa:chmod()
, no qual o argumento fornecido pelo usuário especifica os bits a serem habilitados no arquivo especificado, o comportamento de umask()
é, na verdade, o oposto: umask()
define umask como ~mask & 0777
.umask()
continua e descreve o uso correto de umask()
:transactionId
ativa em um arquivo temporário no diretório Documentos de aplicativo usando um método vulnerável:
...
//get the documents directory:
let documentsPath = NSSearchPathForDirectoriesInDomains(.DocumentDirectory, .UserDomainMask, true)[0]
//make a file name to write the data to using the documents directory:
let fileName = NSString(format:"%@/tmp_activeTrans.txt", documentsPath)
// write data to the file
let transactionId = "TransactionId=12341234"
transactionId.writeToFile(fileName, atomically:true)
...
posted
. FileUpload
é do tipo System.Web.UI.HtmlControls.HtmlInputFile
.
HttpPostedFile posted = FileUpload.PostedFile;
@Controller
public class MyFormController {
...
@RequestMapping("/test")
public String uploadFile (org.springframework.web.multipart.MultipartFile file) {
...
} ...
}
<?php
$udir = 'upload/'; // Relative path under Web root
$ufile = $udir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $ufile)) {
echo "Valid upload received\n";
} else {
echo "Invalid upload rejected\n";
} ?>
from django.core.files.storage import default_storage
from django.core.files.base import File
...
def handle_upload(request):
files = request.FILES
for f in files.values():
path = default_storage.save('upload/', File(f))
...
<input>
do tipo file
indica que o programa aceita uploads de arquivos.
<input type="file">
myModule.config(function($interpolateProvider){
$interpolateProvider.startSymbol("[[");
$interpolateProvider.endSymbol("]]");
});