Vulnerabilidades de injeção de comando SMTP ocorrem quando um invasor pode influenciar os comandos enviados a um servidor de e-mail SMTP.

1. Os dados entram em um aplicativo por uma fonte não confiável.

2. Os dados são usados como uma string, ou parte de uma string, que representa um comando executado pelo aplicativo.

3. Ao executar o comando SMTP, o invasor é capaz de instruir o servidor a realizar ações mal-intencionadas, como o envio de spam.

Exemplo 1: O código a seguir usa um parâmetro de solicitação HTTP para elaborar um comando VRFY que é enviado ao servidor SMTP. Um invasor pode usar esse parâmetro para modificar o comando enviado ao servidor e injetar novos comandos usando caracteres CRLF.

  ...
  String user = request.getParameter("user");
  SMTPSSLTransport transport = new SMTPSSLTransport(session,new URLName(Utilities.getProperty("smtp.server")));
  transport.connect(Utilities.getProperty("smtp.server"), username, password);
  transport.simpleCommand("VRFY " + user);
  ...
  

Erros de injeção de Memcached ocorrem quando:

1. Os dados entram em um programa por uma fonte não confiável.



2. Os dados são usados para construir dinamicamente uma chave ou um valor Memcached.

Exemplo 1: O código a seguir cria dinamicamente uma chave Memcached.

    ...
            TextClient tc = (TextClient)Client.GetInstance("127.0.0.1", 11211, MemcachedFlags.TextProtocol);
            tc.Open();
            string id = txtID.Text;
            var result = get_page_from_somewhere();
            var response = Http_Response(result);
            tc.Set("req-" + id, response, TimeSpan.FromSeconds(1000));
            tc.Close();
            tc = null;
    ...
    

A operação que esse código pretende executar é a seguinte:

    set req-1233 0 1000 n
    <serialized_response_instance>
    

Em que n é o comprimento da resposta.

No entanto, como a operação é construída dinamicamente por meio da concatenação de um prefixo de chave constante e de uma string de entrada do usuário, um invasor pode enviar a string ignore 0 0 1\r\n1\r\nset injected 0 3600 10\r\n0123456789\r\nset req- e, em seguida, a operação torna-se a seguinte:

    set req-ignore 0 0 1
    1
    set injected 0 3600 10
    0123456789
    set req-1233 0 0 n
    <serialized_response_instance>
    

A chave precedente adicionará com sucesso um novo par de chave/valor ao cache injected=0123456789, e os invasores poderão envenenar o cache.

O aplicativo não consegue definir os limites e as restrições do tipo de dados recebido de um formulário da Web. É uma prática recomendada definir um conjunto de restrições, como o comprimento máximo e mínimo, às quais os dados recebidos precisam atender.


Exemplo 1: O seguinte código define um formulário, mas não consegue definir as restrições de dados:

  def form = Form(
    mapping(
      "name" -> text,
      "age" -> number
    )(UserData.apply)(UserData.unapply)
  )

O aplicativo falha ao validar o tipo de dados recebidos de um formulário da web. É uma boa prática validar se os dados recebidos satisfazem as exigências definidas para os dados esperados.

Exemplo 1: O código a seguir define um Spring WebFlow FormAction que não consegue validar os dados em relação às exigências esperadas:

    <bean id="customerCriteriaAction" class="org.springframework.webflow.action.FormAction">
        <property name="formObjectClass"
            value="com.acme.domain.CustomerCriteria" />
        <property name="propertyEditorRegistrar">
            <bean
                class="com.acme.web.PropertyEditors" />
        </property>
    </bean>

Exemplo 2: O código a seguir define o estado de uma ação do Spring WebFlow que não consegue validar os dados em relação às exigências esperadas:

    <action-state>
        <action bean="transferMoneyAction" method="bind" />
    </action-state>

A maioria dos ataques bem-sucedidos começa com uma violação das suposições do programador. Ao aceitar um documento XML sem validá-lo com base em um esquema DTD ou XML, o programador deixa uma porta aberta para os invasores fornecerem entradas inesperadas, excessivas ou mal-intencionadas. Não é possível para um analisador XML validar todos os aspectos do conteúdo de um documento. Um analisador não pode entender a semântica completa dos dados. No entanto, ele pode fazer um trabalho completo e minucioso de verificar a estrutura do documento e, portanto, garantir ao código que processa o documento que o conteúdo é bem-formado.

A maioria dos ataques bem-sucedidos começa com uma violação das suposições do programador. Ao aceitar um documento XML sem validá-lo com base em um esquema DTD ou XML, o programador deixa uma porta aberta para os invasores fornecerem entradas inesperadas, excessivas ou mal-intencionadas. Não é possível para um analisador XML validar todos os aspectos do conteúdo de um documento. Um analisador não pode entender a semântica completa dos dados. No entanto, ele pode fazer um trabalho completo e minucioso de verificar a estrutura do documento e, portanto, garantir ao código que processa o documento que o conteúdo é bem-formado.

A NoSQL injection no Cosmos DB ocorre quando:

1. Os dados entram em um programa por uma fonte não confiável.



2. Os dados são usados para construir dinamicamente uma consulta Cosmos DB.

Exemplo 1: O código a seguir constrói e executa dinamicamente uma consulta Cosmos DB que procura um e-mail com uma ID específica.

...
    String userName = User.Identity.Name;
    String emailId = request["emailId"];
    var client = account.CreateCloudTableClient();
    var table = client.GetTableReference("Employee");
    var query = table.CreateQuery<EmployeeEntity>().Where("user == '" + userName + "' AND emailId == '" + emailId "'");
    var results = table.ExecuteQuery(query);
...

A consulta pretende executar o seguinte código:

    user == "<userName>" && emailId == "<emailId>"

No entanto, como a consulta é construída dinamicamente ao concatenar uma string de consulta constante e de uma string de entrada do usuário, ela apenas se comportará corretamente se emailId não contiver um caractere de aspas simples. Se um invasor com o nome de usuário wiley inserir a cadeia de caracteres "123' || '4' != '5" para emailId, a consulta se tornará a seguinte:

    user == 'wiley' && emailId == '123' || '4' != '5'

A inclusão da condição || '4' != '5' faz com que a cláusula where sempre seja avaliada como true e, portanto, a consulta retorna todas as entradas armazenadas na coleção emails, independentemente do proprietário do e-mail.