Reino: Input Validation and Representation

Problemas de validação e representação da entrada são causados por metacaracteres, codificações alternativas e representações numéricas. Confiar na entrada resulta em problemas de segurança. Os problemas incluem: “Buffer Overflows”, ataques de “Cross-Site Scripting”, “SQL Injection”, entre outros.

175 itens encontrados
Vulnerabilidades

Integer Overflow

Abstract
Desconsiderar o estouro de inteiros pode resultar em erros de lógica ou buffer overflow.
Explanation
Erros de estouro de inteiros ocorrem quando um programa não considera o fato de que uma operação aritmética pode resultar em uma quantidade maior do que o valor máximo de um tipo de dados ou menor do que seu valor mínimo. Esses erros costumam causar problemas em funções de alocação de memória, nas quais a entrada do usuário passa por conversões implícitas entre valores signed e unsigned. Se um invasor puder fazer com que o programa aloque menos memória do que o necessário ou interprete um valor signed como unsigned em uma operação de memória, o programa poderá estar vulnerável ao estouro de buffer.

Exemplo 1: O seguinte trecho de código do OpenSSH 3.3 demonstra um caso clássico de estouro de inteiros:


nresp = packet_get_int();
if (nresp > 0) {
 response = xmalloc(nresp*sizeof(char*));
 for (i = 0; i < nresp; i++)
  response[i] = packet_get_string(NULL);
}


Se nresp tiver o valor 1073741824 e sizeof(char*) tiver seu valor típico de 4, ocorrerá o estouro do resultado da operação nresp*sizeof(char*), e o argumento para xmalloc() será 0. A maioria das implementações de malloc() permitirá a alocação de um buffer de 0 byte, fazendo com que as iterações de loop subsequentes estourem o buffer de heap response.

Exemplo 2: Esse exemplo processa a entrada do usuário formada por uma série de estruturas de comprimento variável. Os dois primeiros bytes de entrada determinam o tamanho da estrutura a ser processada.


 char* processNext(char* strm) {
 char buf[512];
 short len = *(short*) strm;
 strm += sizeof(len);
 if (len <= 512) {
  memcpy(buf, strm, len);
  process(buf);
  return strm + len;
 } else {
  return -1;
 }
}


O programador definiu um limite superior no tamanho da estrutura: se ele for maior que 512, a entrada não será processada. O problema é que len é um inteiro com sinal e, portanto, a verificação do comprimento máximo da estrutura é feita com inteiros com sinal, mas len é convertido em um inteiro sem sinal na chamada para memcpy(). Se len for negativo, parecerá que a estrutura tem um tamanho apropriado (a ramificação if será usada), mas a quantidade de memória copiada por memcpy() será muito grande, e o invasor será capaz de estourar a pilha com dados em strm.
References
[1] blexim Basic Integer Overflows Phrack
[2] D. Plakosh Coding Flaws That Lead to Security Failures 2nd Annual Hampton University Information Assurance Symposium
[3] Les Hatton Safer C: Developing Software for High-integrity and Safety-critical Systems McGraw-Hill Companies
desc.dataflow.cpp.integer_overflow
Abstract
Não considerar o estouro de inteiros pode resultar em erros de lógica ou estouro de buffer.
Explanation
Erros de estouro de inteiros ocorrem quando um programa não considera o fato de que uma operação aritmética pode resultar em uma quantidade maior do que o valor máximo de um tipo de dados ou menor do que seu valor mínimo. Esses erros costumam causar problemas em funções de alocação de memória, nas quais a entrada do usuário passa por conversões implícitas entre valores signed e unsigned. Se um invasor puder fazer com que o programa aloque menos memória do que o necessário ou interprete um valor signed como unsigned em uma operação de memória, o programa poderá estar vulnerável ao estouro de buffer.

Exemplo: O trecho de código a seguir demonstra um caso clássico de estouro de inteiros:


  77 accept-in PIC 9(10).
  77 num PIC X(4) COMP-5. *> native 32-bit unsigned integer
  77 mem-size PIC X(4) COMP-5.
  ...
  ACCEPT accept-in
  MOVE accept-in TO num
  MULTIPLY 4 BY num GIVING mem-size

  CALL "CBL_ALLOC_MEM" USING
    mem-pointer
    BY VALUE mem-size
    BY VALUE 0
    RETURNING status-code
  END-CALL


Se num tiver o valor 1073741824, o resultado da operação MULTIPLY 4 BY num causará um estouro de inteiros, e o argumento mem-size de malloc() será 0. A maioria das implementações de malloc() permite a alocação de um buffer de 0 bytes, provocando o estouro do mem-pointer do buffer da pilha em declarações subsequentes.
References
[1] blexim Basic Integer Overflows Phrack
[2] D. Plakosh Coding Flaws That Lead to Security Failures 2nd Annual Hampton University Information Assurance Symposium
[3] Les Hatton Safer C: Developing Software for High-integrity and Safety-critical Systems McGraw-Hill Companies
desc.dataflow.cobol.integer_overflow
Abstract
Uma função trata incorretamente um cálculo de número inteiro que resulta em overflow/underflow insuficiente.
Explanation
Um overflow/underflow de um número inteiro ocorre quando um cálculo ou uma operação aritmética resulta em um valor que está acima/abaixo do valor máximo/mínimo do tipo de número inteiro, fazendo com que o valor volte ao limite inferior/superior e continue a partir daí. O valor resultante de uma operação aritmética é efetivamente o módulo do intervalo de números inteiros a partir dos limites superior/inferior.

Por exemplo, se um número for armazenado em um tipo uint256, isso significará que é armazenado como um número sem sinal de 256 bits que varia de 0 a 2^256-1. Se uma operação aritmética resultar em um número maior do que o limite superior, ocorrerá um overflow e o restante será adicionado a partir do valor inicial (0). Se uma operação aritmética fizer com que o número fique abaixo do limite inferior, ocorrerá um underflow e o restante será subtraído do maior valor (2^256-1).

Exemplo 1: A função pública a seguir atualiza um mapeamento uint256 usando uma operação aritmética que pode levar ao overflow/underflow de inteiros e afetar índices não intencionais no mapa.


contract overflow {
    mapping(uint256 => uint256) map;

    function init(uint256 k, uint256 v) public {
        map[k] -= v;
    }
}
References
[1] Enterprise Ethereum Alliance No Overflow/Underflow
desc.structural.solidity.swc101

Intent Manipulation

Abstract
Permitir que a entrada do usuário controle parâmetros de Intenção pode permitir que um invasor controle o comportamento de atividades subsequentes.
Explanation
Um problema de manipulação de intenção ocorre quando as duas condições a seguir são atendidas:

1. Um invasor pode especificar a ação, o nome da classe ou o componente de uma Intenção do Android.

Por exemplo, um invasor pode ser capaz de especificar o nome da classe ou o componente para lidar com a intenção.

2. Ao especificar a ação, o nome da classe ou o componente, o invasor adquire uma capacidade que, de outra forma, não seria permitida.

Por exemplo, o programa pode dar ao invasor a capacidade de transmitir informações confidenciais a um software de terceiros no dispositivo.

Exemplo 1: O código a seguir usa um argumento lido a partir de uma solicitação HTTP para definir o nome da classe de uma intenção.


String arg = request.getParameter("arg");
...
Intent intent = new Intent();
...
intent.setClassName(arg);
ctx.startActivity(intent);
...
References
[1] Intent
desc.dataflow.java.intent_manipulation

Intent Manipulation: Redirection

Abstract
Usando um Intent aninhado de uma entrada externa para iniciar uma atividade, iniciar um serviço ou realizar uma transmissão pode permitir que um invasor inicie arbitrariamente componentes de aplicativos internos, controle o comportamento de um componente interno ou acesse indiretamente dados protegidos de um provedor de conteúdo por meio de concessões de permissão temporárias.
Explanation
Um problema de manipulação da intenção de redirecionamento ocorre quando as seguintes condições são atendidas:
1. Um componente exportado aceita um Intent arbitrário aninhado no pacote de extras de um Intent fornecido externamente.

2. O componente exportado usa o Intent arbitrário para iniciar um componente chamando startActivity, startService ou sendBroadcast.

Um invasor pode obter uma capacidade que, de outra forma, não seria permitida na existência dessas condições.
Exemplo 1: O código a seguir aceita um Intent aninhado de uma fonte externa e usa esse Intent para iniciar uma atividade.


...
Intent nextIntent = (Intent) getIntent().getParcelableExtra("next-intent");
startActivity(nextIntent);
...
References
[1] Intent
[2] Remediation for Intent Redirection Vulnerability - Google Help
[3] Nicole Borrelli Android Nesting Intents
[4] Standards Mapping - CIS Azure Kubernetes Service Benchmark 3
[5] Standards Mapping - CIS Microsoft Azure Foundations Benchmark complete
[6] Standards Mapping - CIS Amazon Elastic Kubernetes Service Benchmark 4
[7] Standards Mapping - CIS Amazon Web Services Foundations Benchmark 1
[8] Standards Mapping - CIS Google Kubernetes Engine Benchmark integrity
[9] Standards Mapping - CIS Kubernetes Benchmark partial
[10] Standards Mapping - Common Weakness Enumeration CWE ID 99
[11] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754
[12] Standards Mapping - FIPS200 SI
[13] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[14] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)
[15] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation
[16] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input
[17] Standards Mapping - OWASP Top 10 2007 A4 Insecure Direct Object Reference
[18] Standards Mapping - OWASP Top 10 2010 A4 Insecure Direct Object References
[19] Standards Mapping - OWASP Top 10 2013 A4 Insecure Direct Object References
[20] Standards Mapping - OWASP Top 10 2017 A5 Broken Access Control
[21] Standards Mapping - OWASP Top 10 2021 A01 Broken Access Control
[22] Standards Mapping - OWASP API 2023 API2 Broken Authentication
[23] Standards Mapping - OWASP Mobile 2014 M8 Security Decisions Via Untrusted Inputs
[24] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[25] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4, MASVS-PLATFORM-1
[26] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1
[27] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.4
[28] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.8
[29] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8
[30] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8
[31] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8
[32] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8
[33] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
[34] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection, Control Objective 5.4 - Authentication and Access Control
[35] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective 5.4 - Authentication and Access Control, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation
[36] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective 5.4 - Authentication and Access Control, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.2.3 - Web Software Access Controls, Control Objective C.3.2 - Web Software Attack Mitigation
[37] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3600 CAT II
[38] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3600 CAT II
[39] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3600 CAT II
[40] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3600 CAT II
[41] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3600 CAT II
[42] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3600 CAT II
[43] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3600 CAT II
[44] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I
[45] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I
[46] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I
[47] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I
[48] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I
[49] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I
[50] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I
[51] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I
[52] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I
[53] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I
[54] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I
[55] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I
[56] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I
[57] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I
[58] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)
desc.dataflow.java.intent_manipulation_redirection

JSON Injection

Abstract
O método grava uma entrada não validada no JSON. Essa chamada pode permitir que um invasor injete elementos ou atributos arbitrários na entidade JSON.
Explanation
Uma injeção de JSON ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um fluxo JSON.

Em geral, os aplicativos usam o JSON para armazenar dados ou enviar mensagens. Quando usado para armazenar dados, o JSON é frequentemente tratado como dados em cache e pode conter informações confidenciais. Quando usado para enviar mensagens, o JSON é frequentemente usado em conjunto com um serviço com reconhecimento de REST e pode ser usado para transmitir informações confidenciais, como credenciais de autenticação.

A semântica de documentos e mensagens JSON pode ser alterada quando um aplicativo constrói o JSON a partir de uma entrada não validada. Em um caso relativamente favorável, um invasor pode ser capaz de inserir elementos estranhos que fazem com que um aplicativo lance uma exceção durante a análise de um documento ou de uma solicitação JSON. Em um caso mais grave, como aqueles que envolvem uma injeção de JSON, um invasor pode ser capaz de inserir elementos estranhos que permitem a manipulação previsível de valores críticos para os negócios em uma solicitação ou um documento JSON. Em alguns casos, a injeção de JSON pode provocar cross-site scripting ou avaliação de código dinâmico.

Exemplo 1: O seguinte código C# usa JSON.NET para serializar informações de autenticação de conta de usuário para usuários não privilegiados (com a função "default", em oposição a usuários privilegiados com a função "admin") a partir das variáveis de entrada controladas pelo usuário username e password para o arquivo JSON localizado em C:\user_info.json:


...

StringBuilder sb = new StringBuilder();
StringWriter sw = new StringWriter(sb);

using (JsonWriter writer = new JsonTextWriter(sw))
{
  writer.Formatting = Formatting.Indented;

  writer.WriteStartObject();

    writer.WritePropertyName("role");
    writer.WriteRawValue("\"default\"");

    writer.WritePropertyName("username");
    writer.WriteRawValue("\"" + username + "\"");

    writer.WritePropertyName("password");
    writer.WriteRawValue("\"" + password + "\"");

  writer.WriteEndObject();
}

File.WriteAllText(@"C:\user_info.json", sb.ToString());


Ainda assim, como serialização JSON é realizada com o uso de JsonWriter.WriteRawValue(), os dados não confiáveis em username e password não serão validados para o escape de caracteres especiais relacionados ao JSON. Isso permite que um usuário insira chaves JSON arbitrariamente, possivelmente mudando a estrutura do JSON serializado. Neste exemplo, se o usuário não privilegiado mallory com a senha Evil123! fosse acrescentar ","role":"admin ao seu nome de usuário ao inseri-lo no prompt que define o valor da variável username, o JSON salvo em C:\user_info.json seria:


{
  "role":"default",
  "username":"mallory",
  "role":"admin",
  "password":"Evil123!"
}


Se esse arquivo JSON serializado fosse então desserializado em um objeto Dictionary com JsonConvert.DeserializeObject(), da seguinte maneira:


String jsonString = File.ReadAllText(@"C:\user_info.json");

Dictionary<string, string> userInfo = JsonConvert.DeserializeObject<Dictionary<string, strin>>(jsonString);


Os valores resultantes para as chaves username, password e role no objeto Dictionary seriam mallory, Evil123! e admin, respectivamente. Sem a verificação adicional de que os valores JSON desserializados são válidos, o aplicativo atribuirá incorretamente os privilégios "admin" ao usuário mallory.
desc.dataflow.dotnet.json_injection
Abstract
O método grava uma entrada não validada para o JSON. Um invasor pode injetar elementos ou atributos arbitrários na entidade JSON.
Explanation
Uma injeção de JSON ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um fluxo JSON.

Em geral, os aplicativos usam o JSON para armazenar dados ou enviar mensagens. Quando usado para armazenar dados, o JSON é frequentemente tratado como dados em cache e pode conter informações confidenciais. Quando destinado a enviar mensagens, o JSON é frequentemente usado em conjunto com um serviço com reconhecimento de REST e pode transmitir informações confidenciais, como credenciais de autenticação.

Invasores podem alterar a semântica de documentos e mensagens JSON se um aplicativo JSON for construído a partir de uma entrada não validada. Em um caso relativamente favorável, um invasor pode inserir elementos estranhos que fazem com que um aplicativo lance uma exceção durante a análise de um documento ou de uma solicitação JSON. Em casos mais graves, como aqueles que envolvem uma injeção de JSON, um invasor pode inserir elementos estranhos que permitem a manipulação previsível de valores críticos para os negócios em uma solicitação ou um documento JSON. Às vezes, a injeção de JSON pode provocar criação de scripts entre sites ou avaliação de código dinâmico.

Exemplo 1: O seguinte código serializa as informações de autenticação da conta de usuário para usuários não privilegiados (aqueles com uma função de "default", em oposição aos usuários privilegiados com uma função de "admin") de variáveis de entrada controladas por usuário username e password para o arquivo JSON localizado em ~/user_info.json:


    ...
    func someHandler(w http.ResponseWriter, r *http.Request){
        r.parseForm()
        username := r.FormValue("username")
        password := r.FormValue("password")
        ...
        jsonString := `{
        "username":"` + username + `",
        "role":"default"
        "password":"` + password + `",
        }`
        ...
        f, err := os.Create("~/user_info.json")
        defer f.Close()

        jsonEncoder := json.NewEncoder(f)
        jsonEncoder.Encode(jsonString)
    }


Como o código executa a serialização JSON usando concatenação, os dados não confiáveis em username e password não serão validados para realizar escape de caracteres especiais relacionados a JSON. Isso permite que um usuário insira chaves JSON arbitrárias, podendo modificar a estrutura serializada JSON. Neste exemplo, se o usuário não privilegiado mallory com a senha Evil123! anexou ","role":"admin quando ela inseriu seu nome de usuário, o JSON resultante salvo para ~/user_info.json seria:


    {
    "username":"mallory",
    "role":"default",
    "password":"Evil123!",
    "role":"admin"
    }

Sem a verificação adicional de que os valores JSON desserializados são válidos, o aplicativo atribuirá involuntariamente os privilégios "admin" ao usuário mallory.
desc.dataflow.golang.json_injection
Abstract
O método grava uma entrada não validada no JSON. Essa chamada pode permitir que um invasor injete elementos ou atributos arbitrários na entidade JSON.
Explanation
Uma injeção de JSON ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um fluxo JSON.

Em geral, os aplicativos usam o JSON para armazenar dados ou enviar mensagens. Quando usado para armazenar dados, o JSON é frequentemente tratado como dados em cache e pode conter informações confidenciais. Quando usado para enviar mensagens, o JSON é frequentemente usado em conjunto com um serviço com reconhecimento de REST e pode ser usado para transmitir informações confidenciais, como credenciais de autenticação.

A semântica de documentos e mensagens JSON pode ser alterada quando um aplicativo constrói o JSON a partir de uma entrada não validada. Em um caso relativamente favorável, um invasor pode ser capaz de inserir elementos estranhos que fazem com que um aplicativo lance uma exceção durante a análise de um documento ou de uma solicitação JSON. Em um caso mais grave, como aqueles que envolvem uma injeção de JSON, um invasor pode ser capaz de inserir elementos estranhos que permitem a manipulação previsível de valores críticos para os negócios em uma solicitação ou um documento JSON. Em alguns casos, a injeção de JSON pode provocar cross-site scripting ou avaliação de código dinâmico.

Exemplo 1: O seguinte código Java usa Jackson para serializar informações de autenticação de conta de usuário para usuários não privilegiados (com a função "default", em oposição a usuários privilegiados com a função "admin") a partir das variáveis de entrada controladas pelo usuário username e password para o arquivo JSON localizado em ~/user_info.json:


...

JsonFactory jfactory = new JsonFactory();

JsonGenerator jGenerator = jfactory.createJsonGenerator(new File("~/user_info.json"), JsonEncoding.UTF8);

jGenerator.writeStartObject();

jGenerator.writeFieldName("username");
jGenerator.writeRawValue("\"" + username + "\"");

jGenerator.writeFieldName("password");
jGenerator.writeRawValue("\"" + password + "\"");

jGenerator.writeFieldName("role");
jGenerator.writeRawValue("\"default\"");

jGenerator.writeEndObject();

jGenerator.close();


Ainda assim, como serialização JSON é realizada com o uso de JsonGenerator.writeRawValue(), os dados não confiáveis em username e password não serão validados para o escape de caracteres especiais relacionados ao JSON. Isso permite que um usuário insira chaves JSON arbitrariamente, possivelmente mudando a estrutura do JSON serializado. Neste exemplo, se o usuário não privilegiado mallory com a senha Evil123! fosse acrescentar ","role":"admin ao seu nome de usuário ao inseri-lo no prompt que define o valor da variável username, o JSON salvo em ~/user_info.json seria:


{
  "username":"mallory",
  "role":"admin",
  "password":"Evil123!",
  "role":"default"
}


Se esse arquivo JSON serializado fosse então desserializado em um objeto HashMap com JsonParser do Jackson, da seguinte maneira:


JsonParser jParser = jfactory.createJsonParser(new File("~/user_info.json"));

while (jParser.nextToken() != JsonToken.END_OBJECT) {

  String fieldname = jParser.getCurrentName();

  if ("username".equals(fieldname)) {
    jParser.nextToken();
    userInfo.put(fieldname, jParser.getText());
  }

  if ("password".equals(fieldname)) {
    jParser.nextToken();
    userInfo.put(fieldname, jParser.getText());
  }

  if ("role".equals(fieldname)) {
    jParser.nextToken();
    userInfo.put(fieldname, jParser.getText());
  }

  if (userInfo.size() == 3)
    break;
}

jParser.close();


Os valores resultantes para as chaves username, password e role no objeto HashMap seriam mallory, Evil123! e admin, respectivamente. Sem a verificação adicional de que os valores JSON desserializados são válidos, o aplicativo atribuirá incorretamente os privilégios "admin" ao usuário mallory.
desc.dataflow.java.json_injection
Abstract
O método grava uma entrada não validada no JSON. Essa chamada pode permitir que um invasor injete elementos ou atributos arbitrários na entidade JSON.
Explanation
Uma injeção de JSON ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um fluxo JSON.

Em geral, os aplicativos usam o JSON para armazenar dados ou enviar mensagens. Quando usado para armazenar dados, o JSON é frequentemente tratado como dados em cache e pode conter informações confidenciais. Quando usado para enviar mensagens, o JSON é frequentemente usado em conjunto com um serviço com reconhecimento de REST e pode ser usado para transmitir informações confidenciais, como credenciais de autenticação.

A semântica de documentos e mensagens JSON pode ser alterada quando um aplicativo constrói o JSON a partir de uma entrada não validada. Em um caso relativamente favorável, um invasor pode ser capaz de inserir elementos estranhos que fazem com que um aplicativo lance uma exceção durante a análise de um documento ou de uma solicitação JSON. Em um caso mais grave, como aqueles que envolvem uma injeção de JSON, um invasor pode ser capaz de inserir elementos estranhos que permitem a manipulação previsível de valores críticos para os negócios em uma solicitação ou um documento JSON. Em alguns casos, a injeção de JSON pode provocar cross-site scripting ou avaliação de código dinâmico.

Exemplo 1: Este código JavaScript usa jQuery para analisar o JSON no qual um valor vem de uma URL:


var str = document.URL;
var url_check = str.indexOf('name=');
var name = null;
if (url_check > -1) {
  name =  decodeURIComponent(str.substring((url_check+5), str.length));
}

$(document).ready(function(){
  if (name !== null){
    var obj = jQuery.parseJSON('{"role": "user", "name" : "' + name + '"}');
    ...
  }
  ...
});


Aqui os dados não confiáveis em name não serão validados para escapar dos caracteres especiais relacionadas com o JSON. Isso permite que um usuário insira chaves JSON arbitrariamente, possivelmente mudando a estrutura do JSON serializado. Neste exemplo, se o usuário não privilegiado mallory acrescentasse ","role":"admin ao parâmetro nome na URL, o JSON se tornaria:


{
  "role":"user",
  "username":"mallory",
  "role":"admin"
}


Ele é analisado pelo jQuery.parseJSON() e definido como um objeto simples, o que significa que obj.role retornaria agora "admin" em vez de "user"
desc.dataflow.javascript.json_injection
Abstract
O método grava uma entrada não validada no JSON. Essa chamada pode permitir que um invasor injete elementos ou atributos arbitrários na entidade JSON.
Explanation
Uma injeção de JSON ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um fluxo JSON.

Em geral, os aplicativos usam o JSON para armazenar dados ou enviar mensagens. Quando usado para armazenar dados, o JSON é frequentemente tratado como dados em cache e pode conter informações confidenciais. Quando usado para enviar mensagens, o JSON é frequentemente usado em conjunto com um serviço com reconhecimento de REST e pode ser usado para transmitir informações confidenciais, como credenciais de autenticação.

A semântica de documentos e mensagens JSON pode ser alterada quando um aplicativo constrói o JSON a partir de uma entrada não validada. Em um caso relativamente favorável, um invasor pode ser capaz de inserir elementos estranhos que fazem com que um aplicativo lance uma exceção durante a análise de um documento ou de uma solicitação JSON. Em um caso mais grave, como aqueles que envolvem uma injeção de JSON, um invasor pode ser capaz de inserir elementos estranhos que permitem a manipulação previsível de valores críticos para os negócios em uma solicitação ou um documento JSON. Em alguns casos, a injeção de JSON pode provocar cross-site scripting ou avaliação de código dinâmico.

Exemplo 1: Este código Objective-C serializa as informações de autenticação de conta para usuários não privilegiados (aqueles com uma função "padrão" em vez dos usuários privilegiados, com uma função de "admin") em JSON a partir dos campos controlados pelo usuário _usernameField e _passwordField:


...

NSString * const jsonString = [NSString stringWithFormat: @"{\"username\":\"%@\",\"password\":\"%@\",\"role\":\"default\"}" _usernameField.text, _passwordField.text];


Ainda assim, como serialização JSON é realizada com o uso de NSString.stringWithFormat:, os dados não confiáveis em _usernameField e _passwordField não serão validados para o escape de caracteres especiais relacionados ao JSON. Isso permite que um usuário insira chaves JSON arbitrariamente, possivelmente mudando a estrutura do JSON serializado. Nesse exemplo, se o usuário não privilegiado mallory com a senha Evil123! anexasse ","role":"admin ao nome de usuário dele ao digitá-lo no campo _usernameField, o JSON resultante seria:


{
  "username":"mallory",
  "role":"admin",
  "password":"Evil123!",
  "role":"default"
}


Se essa cadeia JSON serializada fosse então desserializada para um objetoNSDictionary com NSJSONSerialization.JSONObjectWithData: desta maneira:


NSError *error;
NSDictionary *jsonData = [NSJSONSerialization JSONObjectWithData:[jsonString dataUsingEncoding:NSUTF8StringEncoding] options:NSJSONReadingAllowFragments error:&error];


Os valores resultantes de username, password, e role no objeto NSDictionary seriam mallory, Evil123!, e admin respectivamente. Sem a verificação adicional de que os valores JSON desserializados são válidos, o aplicativo atribuirá incorretamente os privilégios "admin" ao usuário mallory.
desc.dataflow.objc.json_injection
Abstract
O método grava uma entrada não validada no JSON. Essa chamada pode permitir que um invasor injete elementos ou atributos arbitrários na entidade JSON.
Explanation
Uma injeção de JSON ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um fluxo JSON.

Em geral, os aplicativos usam o JSON para armazenar dados ou enviar mensagens. Quando usado para armazenar dados, o JSON é frequentemente tratado como dados em cache e pode potencialmente conter informações confidenciais. Quando destinado a enviar mensagens, o JSON é frequentemente usado em conjunto com um serviço RESTful e pode ser usado para transmitir informações confidenciais, como credenciais de autenticação.

A semântica de documentos e mensagens JSON poderá ser alterada se um aplicativo construir JSON com base em uma entrada não validada. Em um caso relativamente favorável, um invasor pode ser capaz de inserir elementos estranhos que fazem com que um aplicativo lance uma exceção durante a análise de um documento ou solicitação JSON. Em um caso mais graves, como aqueles que envolvem uma injeção de JSON, um invasor pode ser capaz de inserir elementos estranhos que permitem a manipulação previsível de valores críticos para os negócios em um documento ou solicitação JSON. Em alguns casos, a injeção de JSON pode até mesmo provocar cross-site scripting ou avaliação de código dinâmico.

Exemplo: O seguinte código python atualiza um arquivo json com um valor não confiável originário de uma URL:


import json
import requests
from urllib.parse import urlparse
from urllib.parse import parse_qs

url = 'https://www.example.com/some_path?name=some_value'
parsed_url = urlparse(url)
untrusted_values = parse_qs(parsed_url.query)['name'][0]

with open('data.json', 'r') as json_File:    
    data = json.load(json_File)

    data['name']= untrusted_values
    
with open('data.json', 'w') as json_File:
    json.dump(data, json_File)

...


Aqui, os dados não confiáveis em name não serão validados para aplicar o escape de caracteres especiais relacionados a JSON. Isso permite que um usuário insira chaves JSON arbitrariamente, possivelmente alterando a estrutura do JSON serializado. Nesse exemplo, se o usuário não privilegiado mallory anexasse ","role":"admin ao parâmetro name na URL, o JSON se tornaria:


{
"role":"user",
"username":"mallory",
"role":"admin"
}

O arquivo JSON agora é adulterado com dados mal-intencionados e o usuário tem acesso privilegiado de "admin" em vez de "user"
desc.dataflow.python.json_injection
Abstract
O método grava uma entrada não validada no JSON. Essa chamada pode permitir que um invasor injete elementos ou atributos arbitrários na entidade JSON.
Explanation
Uma injeção de JSON ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um fluxo JSON.

Em geral, os aplicativos usam o JSON para armazenar dados ou enviar mensagens. Quando usado para armazenar dados, o JSON é frequentemente tratado como dados em cache e pode conter informações confidenciais. Quando usado para enviar mensagens, o JSON é frequentemente usado em conjunto com um serviço com reconhecimento de REST e pode ser usado para transmitir informações confidenciais, como credenciais de autenticação.

A semântica de documentos e mensagens JSON pode ser alterada quando um aplicativo constrói o JSON a partir de uma entrada não validada. Em um caso relativamente favorável, um invasor pode ser capaz de inserir elementos estranhos que fazem com que um aplicativo lance uma exceção durante a análise de um documento ou de uma solicitação JSON. Em um caso mais grave, como aqueles que envolvem uma injeção de JSON, um invasor pode ser capaz de inserir elementos estranhos que permitem a manipulação previsível de valores críticos para os negócios em uma solicitação ou um documento JSON. Em alguns casos, a injeção de JSON pode provocar cross-site scripting ou avaliação de código dinâmico.
desc.dataflow.scala.json_injection
Abstract
O método grava uma entrada não validada no JSON. Essa chamada pode permitir que um invasor injete elementos ou atributos arbitrários na entidade JSON.
Explanation
Uma injeção de JSON ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.


2. Os dados são gravados em um fluxo JSON.

Em geral, os aplicativos usam o JSON para armazenar dados ou enviar mensagens. Quando usado para armazenar dados, o JSON é frequentemente tratado como dados em cache e pode conter informações confidenciais. Quando usado para enviar mensagens, o JSON é frequentemente usado em conjunto com um serviço com reconhecimento de REST e pode ser usado para transmitir informações confidenciais, como credenciais de autenticação.

A semântica de documentos e mensagens JSON pode ser alterada quando um aplicativo constrói o JSON a partir de uma entrada não validada. Em um caso relativamente favorável, um invasor pode ser capaz de inserir elementos estranhos que fazem com que um aplicativo lance uma exceção durante a análise de um documento ou de uma solicitação JSON. Em um caso mais grave, como aqueles que envolvem uma injeção de JSON, um invasor pode ser capaz de inserir elementos estranhos que permitem a manipulação previsível de valores críticos para os negócios em uma solicitação ou um documento JSON. Em alguns casos, a injeção de JSON pode provocar cross-site scripting ou avaliação de código dinâmico.

Exemplo 1: O seguinte código Swift serializa as informações de autenticação de conta dos usuários não privilegiados (aqueles com uma função “padrão”, em vez dos usuários privilegiados com uma função “admin”) para o JSON a partir dos campos controlados pelo usuário usernameField e passwordField:


...
let jsonString : String = "{\"username\":\"\(usernameField.text)\",\"password\":\"\(passwordField.text)\",\"role\":\"default\"}"


Ainda assim, como a serialização JSON é realizada usando interpolação, os dados não confiáveis em usernameField e passwordField não serão validados para realizar escape dos caracteres especiais relacionados a JSON. Isso permite que um usuário insira chaves JSON arbitrariamente, possivelmente mudando a estrutura do JSON serializado. Nesse exemplo, se o usuário não privilegiado mallory com a senha Evil123! anexasse ","role":"admin ao nome de usuário dele ao digitá-lo no campo usernameField, o JSON resultante seria:


{
  "username":"mallory",
  "role":"admin",
  "password":"Evil123!",
  "role":"default"
}


Se essa cadeia JSON serializada fosse então desserializada para um objetoNSDictionary com NSJSONSerialization.JSONObjectWithData: desta maneira:


var error: NSError?
var jsonData : NSDictionary = NSJSONSerialization.JSONObjectWithData(jsonString.dataUsingEncoding(NSUTF8StringEncoding), options: NSJSONReadingOptions.MutableContainers, error: &error) as NSDictionary


Os valores resultantes de username, password, e role no objeto NSDictionary seriam mallory, Evil123!, e admin respectivamente. Sem a verificação adicional de que os valores JSON desserializados são válidos, o aplicativo atribuirá incorretamente os privilégios "admin" ao usuário mallory.
desc.dataflow.swift.json_injection

JSON Path Manipulation

Abstract
O aplicativo realiza uma consulta JSON com dados não confiáveis que podem permitir que os invasores consultem partes inesperadas do documento JSON.
Explanation
"JSON Path" permite que os desenvolvedores consultem documentos JSON de forma semelhante a como o XPath permite a consulta de documentos XML. Permitir que os usuários escolham arbitrariamente a chave usada para montar a consulta pode permitir que eles consultem partes diferentes e inesperadas do documento, o que pode dar-lhes acesso a dados confidenciais ou privados.

Exemplo 1: O código a seguir usa uma palavra-chave definida pelo usuário para acessar um documento JSON que contém detalhes públicos do usuário, como nome e endereço, mas o documento JSON também contém detalhes privados, como senha.


  def searchUserDetails(key:String) = Action.async { implicit request =>
    val user_json = getUserDataFor(user)
    val value = (user_json \ key).get.as[String]
    ...
  }


Como key pode ser controlada pelo usuário, um usuário mal-intencionado pode tirar proveito disso para acessar as senhas do usuário e todos os outros dados privados que possam estar contidos no documento JSON.
desc.dataflow.scala.json_path_manipulation

LDAP Entry Poisoning

Abstract
Um aplicativo que executa uma pesquisa LDAP de retorno de objeto permitirá que invasores controlem a resposta LDAP para executar código arbitrário no servidor.
Explanation
Um invasor capaz de adulterar uma resposta LDAP, seja modificando a entrada em repouso ou interceptando e modificando a resposta em tempo real (ataque man-in-the-middle), será capaz de injetar atributos Java especiais na entrada LDAP. Ao realizar uma pesquisa de retorno de objeto, os atributos Java são decodificados como objetos Java usando a desserialização Java ou cancelamento de referência JNDI, permitindo que os invasores obtenham a execução remota de código no servidor de aplicativos que está executando a pesquisa.

O aplicativo executa uma pesquisa de retorno de objeto, definindo o returningObjectFlag como true na instãncia javax.naming.directory.SearchControls passada para o método search ou usando uma função de biblioteca que define este sinalizador em seu nome.

Nesse caso, o aplicativo está usando o módulo de autorização Spring Security LDAP que executa pesquisas de retorno de objeto e, portanto, é vulnerável ao envenenamento da entrada do LDAP.

Exemplo: O arquivo de configuração Beans a seguir configura o aplicativo para usar o módulo LDAP Spring Security como o provedor de autenticação.


<beans ... >
	<authentication-manager>
        <ldap-authentication-provider
            user-search-filter="(uid={0})"
            user-search-base="ou=users,dc=example,dc=org"
            group-search-filter="(uniqueMember={0})"
            group-search-base="ou=groups,dc=example,dc=org"
            group-role-attribute="cn"
            role-prefix="ROLE_">
        </ldap-authentication-provider>
	</authentication-manager>
</beans>
References
[1] Introducing JNDI Injection and LDAP Entry Poisoning OpenText Fortify
[2] A Journey from JNDI/LDAP manipulation to remote code execution dream land BlackHat
desc.configuration.java.ldap_entry_poisoning

LDAP Injection

Abstract
A construção de um filtro LDAP dinâmico com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.
Explanation
Erros de injeção de LDAP ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.

Nesse caso, o Fortify Static Code Analyzer não conseguiu determinar se a fonte dos dados é confiável.

2. Os dados são usados para construir dinamicamente um filtro LDAP.
Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta LDAP que recupera registros para todos os funcionários subordinados a um determinado gerente. O nome do gerente é lido de uma solicitação HTTP e, portanto, não é confiável.


...
DirectorySearcher src =
           new DirectorySearcher("(manager=" + managerName.Text + ")");
src.SearchRoot = de;
src.SearchScope = SearchScope.Subtree;

foreach(SearchResult res in src.FindAll()) {
  ...
}


Em condições normais, como ao procurar funcionários subordinados ao gerente João da Silva, o filtro que esse código executa será parecido com o seguinte:


(manager=Smith, John)


No entanto, como o filtro é construído dinamicamente por meio da concatenação de uma cadeia de consulta base constante e de uma cadeia de entrada do usuário, o comportamento da consulta só será correto se managerName não contiver metacaracteres LDAP. Se um invasor inserir a string Hacker, Wiley)(|(objectclass=*) para managerName, a consulta se tornará a seguinte:


(manager=Hacker, Wiley)(|(objectclass=*))


Com base nas permissões com as quais a consulta é executada, a adição da condição |(objectclass=*) faz com que o filtro seja correspondido com todas as entradas do diretório e permite que o invasor recupere informações sobre o grupo inteiro de usuários. A amplitude desse ataque pode ser limitada dependendo das permissões com as quais a consulta LDAP é realizada. Porém, se o invasor puder controlar a estrutura de comandos da consulta, esse ataque poderá afetar pelo menos todos os registros que podem ser acessados pelo usuário com base no qual a consulta LDAP é executada.
desc.semantic.dotnet.ldap_injection
Abstract
A construção de um filtro LDAP dinâmico com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.
Explanation
Erros de injeção de LDAP ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são usados para construir dinamicamente um filtro LDAP.
Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta LDAP que recupera registros para todos os funcionários subordinados a um determinado gerente. O nome do gerente é lido a partir de um soquete de rede e, portanto, não é confiável.


fgets(manager, sizeof(manager), socket);

snprintf(filter, sizeof(filter, "(manager=%s)", manager);

if ( ( rc = ldap_search_ext_s( ld, FIND_DN, LDAP_SCOPE_BASE,
       filter, NULL, 0, NULL, NULL, LDAP_NO_LIMIT,
       LDAP_NO_LIMIT, &result ) ) == LDAP_SUCCESS ) {
  ...
}


Em condições normais, como ao procurar funcionários subordinados ao gerente João da Silva, o filtro que esse código executa será parecido com o seguinte:


(manager=Smith, John)


No entanto, como o filtro é construído dinamicamente por meio da concatenação de uma cadeia de consulta base constante e de uma cadeia de entrada do usuário, o comportamento da consulta só será correto se manager não contiver metacaracteres LDAP. Se um invasor inserir a string Hacker, Wiley)(|(objectclass=*) para manager, a consulta se tornará a seguinte:


(manager=Hacker, Wiley)(|(objectclass=*))


Com base nas permissões com as quais a consulta é executada, a adição da condição |(objectclass=*) faz com que o filtro seja correspondido com todas as entradas do diretório e permite que o invasor recupere informações sobre o grupo inteiro de usuários. A amplitude desse ataque pode ser limitada dependendo das permissões com as quais a consulta LDAP é realizada. Porém, se o invasor puder controlar a estrutura de comandos da consulta, esse ataque poderá afetar pelo menos todos os registros que podem ser acessados pelo usuário com base no qual a consulta LDAP é executada.
desc.dataflow.cpp.ldap_injection
Abstract
A construção de um filtro LDAP dinâmico com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.
Explanation
Erros de injeção de LDAP ocorrem quando:
1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são usados para construir dinamicamente um filtro LDAP.
Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta LDAP que recupera registros para todos os funcionários subordinados a um determinado gerente. O nome do gerente é lido de uma solicitação HTTP e, portanto, não é confiável.


...
DirContext ctx = new InitialDirContext(env);

String managerName = request.getParameter("managerName");

//retrieve all of the employees who report to a manager

String filter = "(manager=" + managerName + ")";

NamingEnumeration employees = ctx.search("ou=People,dc=example,dc=com",
        			                 filter);
...


Em condições normais, como ao procurar funcionários subordinados ao gerente João da Silva, o filtro que esse código executa será parecido com o seguinte:


(manager=Smith, John)


No entanto, como o filtro é construído dinamicamente por meio da concatenação de uma cadeia de consulta base constante e de uma cadeia de entrada do usuário, o comportamento da consulta só será correto se managerName não contiver metacaracteres LDAP. Se um invasor inserir a string Hacker, Wiley)(|(objectclass=*) para managerName, a consulta se tornará a seguinte:


(manager=Hacker, Wiley)(|(objectclass=*))


Com base nas permissões com as quais a consulta é executada, a adição da condição |(objectclass=*) faz com que o filtro seja correspondido com todas as entradas do diretório e permite que o invasor recupere informações sobre o grupo inteiro de usuários. A amplitude desse ataque pode ser limitada dependendo das permissões com as quais a consulta LDAP é realizada. Porém, se o invasor puder controlar a estrutura de comandos da consulta, esse ataque poderá afetar pelo menos todos os registros que podem ser acessados pelo usuário com base no qual a consulta LDAP é executada.
desc.dataflow.java.ldap_injection
Abstract
A construção de um filtro LDAP dinâmico com uma entrada de usuário pode permitir que um invasor modifique o significado da instrução.
Explanation
Erros de injeção de LDAP ocorrem quando:
1. Os dados entram em um programa por uma fonte não confiável.

2. Os dados são usados para construir dinamicamente um filtro LDAP.
Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta LDAP que recupera registros para todos os funcionários subordinados a um determinado gerente. O nome do gerente é lido de uma solicitação HTTP e, portanto, não é confiável.


...
$managerName = $_POST["managerName"]];

//retrieve all of the employees who report to a manager

$filter = "(manager=" . $managerName . ")";

$result = ldap_search($ds, "ou=People,dc=example,dc=com", $filter);
...


Em condições normais, como ao procurar funcionários subordinados ao gerente João da Silva, o filtro que esse código executa será parecido com o seguinte:


(manager=Smith, John)


No entanto, como o filtro é construído dinamicamente por meio da concatenação de uma cadeia de consulta base constante e de uma cadeia de entrada do usuário, o comportamento da consulta só será correto se managerName não contiver metacaracteres LDAP.Se um invasor inserir a string Hacker, Wiley)(|(objectclass=*) para managerName, a consulta se tornará a seguinte:


(manager=Hacker, Wiley)(|(objectclass=*))


Com base nas permissões com as quais a consulta é executada, a adição da condição |(objectclass=*) faz com que o filtro seja correspondido com todas as entradas do diretório e permite que o invasor recupere informações sobre o grupo inteiro de usuários.A amplitude desse ataque pode ser limitada dependendo das permissões com as quais a consulta LDAP é realizada. Porém, se o invasor puder controlar a estrutura de comandos da consulta, esse ataque poderá afetar pelo menos todos os registros que podem ser acessados pelo usuário com base no qual a consulta LDAP é executada.
desc.dataflow.php.ldap_injection