Muitos servidores DNS são suscetíveis a ataques de falsificação e, portanto, você deve partir do princípio de que algum dia o seu software será executado em um ambiente com um servidor DNS comprometido. Se os invasores tiverem permissão para fazer atualizações de DNS (processo às vezes chamado de envenenamento de cache de DNS), eles poderão rotear seu tráfego de rede através das máquinas deles ou causar a impressão de que os endereços IP deles fazem parte do seu domínio. Não baseie a segurança do seu sistema em nomes DNS.
Exemplo: A amostra de código a seguir usa uma pesquisa de DNS para decidir se uma solicitação de entrada é ou não proveniente de um host confiável. Se um invasor puder envenenar o cache de DNS, ele poderá obter um status confiável.

 IPAddress hostIPAddress = IPAddress.Parse(RemoteIpAddress);
 IPHostEntry hostInfo = Dns.GetHostByAddress(hostIPAddress);
 if (hostInfo.HostName.EndsWith("trustme.com")) {
   trusted = true;
 }

Endereços IP são mais confiáveis que nomes DNS, mas também podem ser falsificados. Os invasores podem facilmente falsificar o endereço IP de origem dos pacotes que eles enviam, mas os pacotes de resposta retornarão ao endereço IP falsificado. Para ver os pacotes de resposta, o invasor precisa realizar o sniffing do tráfego entre a máquina da vítima e o endereço IP falsificado. Para realizar o sniffing necessário, os invasores normalmente tentam se localizar na mesma sub-rede que a máquina da vítima. Os invasores podem ser capazes de se esquivar dessa exigência usando o roteamento de origem, mas esse roteamento não está habilitado em uma grande extensão da Internet hoje em dia. Em resumo, a verificação de endereços IP pode ser uma parte útil de um esquema de autenticação, mas não deve ser o único fator necessário para a autenticação.

A função getlogin() deve retornar uma string contendo o nome do usuário atualmente conectado ao terminal, mas um invasor pode fazer com que getlogin() retorne o nome de qualquer usuário conectado à máquina. Não confie no nome retornado por getlogin() ao tomar decisões de segurança.
Exemplo 1: O código a seguir se baseia em getlogin() para determinar se um usuário é ou não confiável. Isso é facilmente contestado.

 pwd = getpwnam(getlogin());
 if (isTrustedGroup(pwd->pw_gid)) {
 allow();
 } else {
 deny();
 }

Independentemente da linguagem na qual um programa está escrito, os ataques mais devastadores muitas vezes envolvem a execução de código remoto, por meio da qual um invasor consegue executar código mal-intencionado com sucesso no contexto do programa. O método GetChars nas classes Decoder & Encoding, e o método GetBytes nas classes Encoder & Encoding no .NET Framework executam internamente a aritmética de ponteiro nas matrizes char e byte para converter o intervalo de caracteres em um intervalo de bytes e vice-versa.
Durante a execução de operações de aritmética de ponteiro, os desenvolvedores muitas vezes substituem os métodos precedentes de uma maneira ruim e introduzem vulnerabilidades, como execução de código arbitrário, abuso da lógica do aplicativo e negação de serviço.

Quando conjuntos de caracteres são incompatíveis entre o sistema operacional e os aplicativos em execução no sistema operacional, os caracteres não suportados passados para os métodos de API padrão podem ser mapeados com um melhor ajuste para caracteres perigosos.

Exemplo 1: Em Objective-C, o seguinte exemplo converte um objeto NSString que contém um caractere UTF-8 em dados ASCII e depois o converte de volta:

...
unichar ellipsis = 0x2026;
NSString *myString = [NSString stringWithFormat:@"My Test String%C", ellipsis];
NSData *asciiData = [myString dataUsingEncoding:NSASCIIStringEncoding allowLossyConversion:YES];
NSString *asciiString = [[NSString alloc] initWithData:asciiData encoding:NSASCIIStringEncoding];
NSLog(@"Original: %@ (length %d)", myString, [myString length]);
NSLog(@"Best-fit-mapped: %@ (length %d)", asciiString, [asciiString length]);
// output:
// Original: My Test String... (length 15)
// Best-fit-mapped: My Test String... (length 17)
...

Se você observar a saída com cuidado, o caractere "..." foi traduzido para três pontos consecutivos. Se você tinha dimensionado o buffer de saída com base no buffer de entrada, o aplicativo poderia estar vulnerável a um buffer overflow. Outros caracteres podem ser mapeados de um caractere para dois. O caractere grego "fi" será mapeado como um "f" seguido por um "i". Ao fazer o carregamento frontal do buffer com esses caracteres, um invasor obtém o controle completo sobre o número de caracteres usados para estourar o buffer.

Quando conjuntos de caracteres são incompatíveis entre o sistema operacional e os aplicativos em execução no sistema operacional, os caracteres não suportados passados para os métodos de API padrão podem ser mapeados com um melhor ajuste para caracteres perigosos.

Exemplo 1: Em Swift, o seguinte exemplo converte um objeto NSString que contém um caractere UTF-8 em dados ASCII e depois o converte de volta:

...
let ellipsis = 0x2026;
let myString = NSString(format:"My Test String %C", ellipsis)
let asciiData = myString.dataUsingEncoding(NSASCIIStringEncoding, allowLossyConversion:true)
let asciiString = NSString(data:asciiData!, encoding:NSASCIIStringEncoding)
NSLog("Original: %@ (length %d)", myString, myString.length)
NSLog("Best-fit-mapped: %@ (length %d)", asciiString!, asciiString!.length)

// output:
// Original: My Test String ... (length 16)
// Best-fit-mapped: My Test String ... (length 18)
...

Se você observar a saída com cuidado, o caractere "..." foi traduzido para três pontos consecutivos. Se você tinha dimensionado o buffer de saída com base no buffer de entrada, o aplicativo poderia estar vulnerável a um buffer overflow. Outros caracteres podem ser mapeados de um caractere para dois. O caractere grego "fi" será mapeado como um "f" seguido por um "i". Ao fazer o carregamento frontal do buffer com esses caracteres, um invasor obtém o controle completo sobre o número de caracteres usados para estourar o buffer.

O Windows fornece um grande número de funções utilitárias que manipulam buffers contendo nomes de arquivo. Na maioria dos casos, o resultado é retornado em um buffer que é transmitido como entrada. (Em geral, o nome do arquivo é modificado no local.) A maioria das funções exige que o buffer tenha pelo menos MAX_PATH bytes de comprimento, mas você deve verificar a documentação para cada função individualmente. Se o buffer não for grande o suficiente para armazenar o resultado da manipulação, poderá ocorrer um buffer overflow.

Exemplo:

char *createOutputDirectory(char *name) {
	char outputDirectoryName[128];
	if (getCurrentDirectory(128, outputDirectoryName) == 0) {
		return null;
	}
	if (!PathAppend(outputDirectoryName, "output")) {
		return null;
	}
	if (!PathAppend(outputDirectoryName, name)) {
		return null;
	}
	if (SHCreateDirectoryEx(NULL, outputDirectoryName, NULL)
        != ERROR_SUCCESS) {
		return null;
	}
	return StrDup(outputDirectoryName);
}

Nesse exemplo, a função cria um diretório chamado "output\<name>" no diretório atual e retorna uma cópia de heap alocado do seu nome. Para a maioria dos valores do diretório atual e do parâmetro "name", essa função funcionará corretamente. No entanto, se o parâmetro name for particularmente longo, a segunda chamada para PathAppend() poderá causar um estouro do buffer de outputDirectoryName, que é menor que MAX_PATH bytes.

Certas funções identificadas são conhecidas por seguir links simbólicos cegamente. Quando isso acontece, o aplicativo abre, lê ou grava dados no arquivo que o link simbólico aponta em vez da representação do link simbólico. Um invasor pode enganar o aplicativo para que ele grave em arquivos essenciais do sistema ou em arquivos alternativos, ou pode fornecer dados comprometidos ao aplicativo.

Exemplo 1: Este código utiliza as funções que seguem links simbólicos:

...
	struct stat output;
	int ret = stat(aFilePath, &output);
	// error handling omitted for this example
	struct timespec accessTime = output.st_atime;
...

A página man umask() começa com a instrução falsa:

"umask define a máscara do usuário como a máscara & 0777"

Embora esse comportamento possa condizer melhor com o uso de chmod(), no qual o argumento fornecido pelo usuário especifica os bits a serem habilitados no arquivo especificado, o comportamento de umask() é, na verdade, o oposto: umask() define umask como ~mask & 0777.

A página man umask() continua e descreve o uso correto de umask():

"A umask é usada para definir as permissões de arquivo iniciais em um arquivo recém-criado. Especificamente, as permissões na umask são desativadas a partir do argumento de modo (assim, por exemplo, o valor umask padrão comum de 022 resulta em novos arquivos que estão sendo criados com permissões 0666 & ~022 = 0644 = rw-r-r-- no caso habitual em que o modo é especificado como 0666)".

Muitas APIs minimizarão o risco de perda de dados mediante a gravação completa em um arquivo temporário e, em seguida, a cópia do arquivo inteiro para o destino pretendido. Certifique-se de que o método identificado não funcione em arquivos ou caminhos em diretórios públicos ou temporários, pois um invasor pode substituir o arquivo temporário logo antes que ele seja gravado no arquivo pretendido. Isso permite que o invasor controle o conteúdo dos arquivos utilizados pelo aplicativo em diretórios públicos.

Exemplo 1: O seguinte código grava a transactionId ativa em um arquivo temporário no diretório Documentos de aplicativo usando um método vulnerável:

...
//get the documents directory:
let documentsPath = NSSearchPathForDirectoriesInDomains(.DocumentDirectory, .UserDomainMask, true)[0]
//make a file name to write the data to using the documents directory:
let fileName = NSString(format:"%@/tmp_activeTrans.txt", documentsPath)
// write data to the file
let transactionId = "TransactionId=12341234"
transactionId.writeToFile(fileName, atomically:true)
...

Independentemente da linguagem na qual um programa está escrito, os ataques mais devastadores muitas vezes envolvem a execução de código remoto, por meio da qual um invasor consegue executar código mal-intencionado com sucesso no contexto do programa. Se os invasores puderem carregar arquivos em um diretório acessível na Web e fazer com que esses arquivos sejam transmitidos ao interpretador de código (por exemplo, JSP/ASPX/PHP), eles poderão fazer com que o código mal-intencionado contido nesses arquivos seja executado no servidor.

O código a seguir recebe um arquivo carregado e o atribui ao objeto posted. FileUpload é do tipo System.Web.UI.HtmlControls.HtmlInputFile.
Exemplo:

HttpPostedFile posted = FileUpload.PostedFile;

Mesmo que um programa armazene arquivos carregados em um diretório não acessível na Web, os invasores ainda podem ser capazes de se aproveitar da capacidade de introduzir conteúdo mal-intencionado no ambiente do servidor para preparar outros ataques. Se o programa for suscetível a vulnerabilidades de manipulação de caminho, injeção de comando ou inclusão de arquivos perigosos, um invasor poderá carregar um arquivo com conteúdo mal-intencionado e fazer com que este seja lido ou executado pelo programa ao explorar outra vulnerabilidade.

Independentemente da linguagem na qual um programa está escrito, os ataques mais devastadores muitas vezes envolvem a execução de código remoto, por meio da qual um invasor consegue executar código mal-intencionado com sucesso no contexto do programa. Se os invasores puderem carregar arquivos em um diretório acessível na Web e fazer com que esses arquivos sejam transmitidos ao interpretador PHP, eles poderão fazer com que o código mal-intencionado contido nesses arquivos sejam executados no servidor.

Exemplo 1: O código a seguir processa arquivos carregados e os move para um diretório na raiz da Web. Os invasores podem carregar arquivos de origem PHP mal-intencionados nesse programa e, posteriormente, solicitar esses arquivos ao servidor, o que fará com que eles sejam executados pelo intérprete PHP.

<?php
$udir = 'upload/'; // Relative path under Web root
$ufile = $udir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $ufile)) {
    echo "Valid upload received\n";
} else {
    echo "Invalid upload rejected\n";
} ?>

Mesmo que um programa armazene arquivos carregados em um diretório não acessível na Web, os invasores ainda podem ser capazes de se aproveitar da capacidade de introduzir conteúdo mal-intencionado no ambiente do servidor para preparar outros ataques. Se o programa for suscetível a vulnerabilidades de manipulação de caminho, injeção de comando ou inclusão remota, um invasor poderá carregar um arquivo com conteúdo mal-intencionado e fazer com que este seja lido ou executado pelo programa ao explorar outra vulnerabilidade.

Independentemente da linguagem na qual um programa está escrito, os ataques mais devastadores muitas vezes envolvem a execução de código remoto, por meio da qual um invasor consegue executar código mal-intencionado com sucesso no contexto do programa. Caso os atacantes consigam fazer o upload de arquivos a um diretório acessível por meio da Web e fazer com que esses arquivos sejam passados ao interpretador Python, eles poderão fazer com que o código malicioso contido nestes arquivos seja executado no servidor.

Exemplo 1: O código a seguir processa arquivos carregados e os move para um diretório na raiz da Web. Os invasores podem fazer o upload de arquivos mal-intencionados para esse programa e depois solicitá-los do servidor.

from django.core.files.storage import default_storage
from django.core.files.base import File
...
def handle_upload(request):
  files = request.FILES
  for f in files.values():
    path = default_storage.save('upload/', File(f))
...

Mesmo que um programa armazene arquivos carregados em um diretório não acessível na Web, os invasores ainda podem ser capazes de se aproveitar da capacidade de introduzir conteúdo mal-intencionado no ambiente do servidor para preparar outros ataques. Se o programa for suscetível a vulnerabilidades de manipulação de caminho, injeção de comando ou inclusão remota, um invasor poderá carregar um arquivo com conteúdo mal-intencionado e fazer com que este seja lido ou executado pelo programa ao explorar outra vulnerabilidade.

Independentemente da linguagem na qual um programa está escrito, os ataques mais devastadores muitas vezes envolvem a execução de código remoto, por meio da qual um invasor consegue executar código mal-intencionado com sucesso no contexto do programa. Se os invasores puderem carregar arquivos em um diretório publicamente executável, eles poderão fazer com que o código mal-intencionado contido nesses arquivos seja executado no servidor.

Mesmo que um programa armazene arquivos carregados em um diretório não acessível publicamente, os invasores ainda podem ser capazes de se aproveitar da capacidade de introduzir conteúdo mal-intencionado no ambiente do servidor para preparar outros ataques. Se o programa for suscetível a vulnerabilidades de manipulação de caminho, injeção de comando ou inclusão remota, um invasor poderá carregar um arquivo com conteúdo mal-intencionado e fazer com que este seja lido ou executado pelo programa ao explorar outra vulnerabilidade.

Independentemente da linguagem na qual um programa está escrito, os ataques mais devastadores muitas vezes envolvem a execução de código remoto, por meio da qual um invasor consegue executar código mal-intencionado com sucesso no contexto do programa. Se os invasores puderem carregar arquivos em um diretório acessível na Web e fazer com que esses arquivos sejam transmitidos ao interpretador de código (por exemplo, JSP/ASPX/PHP), eles poderão fazer com que o código mal-intencionado contido nesses arquivos seja executado no servidor.
Mesmo que um programa armazene arquivos carregados em um diretório não acessível na Web, os invasores ainda podem ser capazes de se aproveitar da capacidade de introduzir conteúdo mal-intencionado no ambiente do servidor para preparar outros ataques. Se o programa for suscetível a vulnerabilidades de manipulação de caminho, injeção de comando ou inclusão de arquivos perigosos, um invasor poderá carregar um arquivo com conteúdo mal-intencionado e fazer com que este seja lido ou executado pelo programa ao explorar outra vulnerabilidade.

Uma tag <input> do tipo file indica que o programa aceita uploads de arquivos.
Exemplo:

<input type="file">