Problemas de validação e representação da entrada são causados por metacaracteres, codificações alternativas e representações numéricas. Confiar na entrada resulta em problemas de segurança. Os problemas incluem: “Buffer Overflows”, ataques de “Cross-Site Scripting”, “SQL Injection”, entre outros.
...
// "type" parameter expected to be either: "Email" or "Username"
string type = request["type"];
string value = request["value"];
string password = request["password"];
var ddb = new AmazonDynamoDBClient();
var attrValues = new Dictionary<string,AttributeValue>();
attrValues[":value"] = new AttributeValue(value);
attrValues[":password"] = new AttributeValue(password);
var scanRequest = new ScanRequest();
scanRequest.FilterExpression = type + " = :value AND Password = :password";
scanRequest.TableName = "users";
scanRequest.ExpressionAttributeValues = attrValues;
var scanResponse = await ddb.ScanAsync(scanRequest);
...
Email = :value AND Password = :password
Username = :value AND Password = :password
type
contiver apenas um dos valores esperados. Se um invasor fornecer um valor type como :value = :value OR :value
, a consulta se transforma no seguinte::value = :value OR :value = :value AND Password = :password
:value = :value
faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta retorna todas as entradas armazenadas na coleção users
, independentemente do proprietário do email.
...
// "type" parameter expected to be either: "Email" or "Username"
String type = request.getParameter("type")
String value = request.getParameter("value")
String password = request.getParameter("password")
DynamoDbClient ddb = DynamoDbClient.create();
HashMap<String, AttributeValue> attrValues = new HashMap<String,AttributeValue>();
attrValues.put(":value", AttributeValue.builder().s(value).build());
attrValues.put(":password", AttributeValue.builder().s(password).build());
ScanRequest queryReq = ScanRequest.builder()
.filterExpression(type + " = :value AND Password = :password")
.tableName("users")
.expressionAttributeValues(attrValues)
.build();
ScanResponse response = ddb.scan(queryReq);
...
Email = :value AND Password = :password
Username = :value AND Password = :password
type
contiver apenas um dos valores esperados. Se um invasor fornecer um valor type como :value = :value OR :value
, a consulta se transforma no seguinte::value = :value OR :value = :value AND Password = :password
:value = :value
faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta retorna todas as entradas armazenadas na coleção users
, independentemente do proprietário do email.
...
String userName = User.Identity.Name;
String emailId = request["emailId"];
var coll = mongoClient.GetDatabase("MyDB").GetCollection<BsonDocument>("emails");
var docs = coll.Find(new BsonDocument("$where", "this.name == '" + name + "'")).ToList();
...
this.owner == "<userName>" && this.emailId == "<emailId>"
emailId
não contiver um caractere de aspas simples. Se um invasor com o nome de usuário wiley
inserir a cadeia de caracteres "123' || '4' != '5
" para emailId
, a consulta se tornará a seguinte:
this.owner == 'wiley' && this.emailId == '123' || '4' != '5'
|| '4' != '5'
faz com que a cláusula where sempre seja avaliada como true
e, portanto, a consulta retorna todas as entradas armazenadas na coleção emails
, independentemente do proprietário do e-mail.
...
String userName = ctx.getAuthenticatedUserName();
String emailId = request.getParameter("emailId")
MongoCollection<Document> col = mongoClient.getDatabase("MyDB").getCollection("emails");
BasicDBObject Query = new BasicDBObject();
Query.put("$where", "this.owner == \"" + userName + "\" && this.emailId == \"" + emailId + "\"");
FindIterable<Document> find= col.find(Query);
...
this.owner == "<userName>" && this.emailId == "<emailId>"
emailId
não contiver um caractere de aspas duplas. Se um invasor com o nome de usuário wiley
inserir a string "123" || "4" != "5
" para emailId
, a consulta se tornará a seguinte:
this.owner == "wiley" && this.emailId == "123" || "4" != "5"
|| "4" != "5"
faz com que a cláusula "where" sempre seja avaliada como "true" e, portanto, a consulta retorna todas as entradas armazenadas na coleção emails
, independentemente do proprietário do email.
...
userName = req.field('userName')
emailId = req.field('emaiId')
results = db.emails.find({"$where", "this.owner == \"" + userName + "\" && this.emailId == \"" + emailId + "\""});
...
this.owner == "<userName>" && this.emailId == "<emailId>"
emailId
não contiver um caractere de aspas duplas. Se um invasor com o nome de usuário wiley
inserir a string "123" || "4" != "5
" para emailId
, a consulta se tornará a seguinte:
this.owner == "wiley" && this.emailId == "123" || "4" != "5"
|| "4" != "5"
faz com que a cláusula "where
" sempre seja avaliada como "true" e, portanto, a consulta retorna todas as entradas armazenadas na coleção emails
, independentemente do proprietário do email.
...
NSString *emailId = [self getEmailIdFromUser];
NSString *query = [NSString stringWithFormat:@"id == '%@'", emailId];
RLMResults<Email *> *emails = [Email objectsInRealm:realm where:query];
...
id == '<emailId value>'
emailId
não contiver um caractere de aspas simples. Se um invasor inserir a string 123' or '4' != '5
para emailId
, a consulta se tornará a seguinte:
id == '123' or '4' != '5'
or '4' != '5'
faz com que a cláusula where
sempre seja avaliada como "true" e, com isso, a consulta retorna todas as entradas armazenadas na coleção emails
, independentemente do proprietário do email.
...
let emailId = getFromUser("emailId")
let email = realm.objects(Email.self).filter("id == '" + emailId + "'")
...
id == '<emailId value>'
emailId
não contiver um caractere de aspas simples. Se um invasor inserir a string 123' or '4' != '5
para emailId
, a consulta se tornará a seguinte:
id == '123' or '4' != '5'
or '4' != '5'
faz com que a cláusula filter
sempre seja avaliada como "true" e, com isso, a consulta retorna todas as entradas armazenadas na coleção emails
, independentemente do proprietário do email.unserialize()
. Os invasores poderiam passar cadeias de caracteres serializadas criadas especialmente para uma chamada unserialize()
vulnerável, resultando em uma injeção de objeto(s) PHP arbitrário(s) no escopo do aplicativo. A gravidade da vulnerabilidade depende das classes disponíveis no escopo de aplicativo. As classes que estão implementando método de mágica PHP, como __wakeup
ou __destruct
, serão interessantes para os invasores, já que eles serão capazes de executar o código nesses métodos.__destruct()
e executando um comando do sistema definido como uma propriedade de classe. Há também uma chamada insegura para unserialize()
com dados fornecidos pelo usuário.
...
class SomeAvailableClass {
public $command=null;
public function __destruct() {
system($this->command);
}
}
...
$user = unserialize($_GET['user']);
...
Example 1
, o aplicativo pode estar esperando um objeto User
serializado, mas um invasor pode na verdade fornecer uma versão serializada de SomeAvailableClass
com um valor predefinido para sua propriedade command
:
GET REQUEST: http://server/page.php?user=O:18:"SomeAvailableClass":1:{s:7:"command";s:8:"uname -a";}
$user
e ele executará o comando fornecido pelo invasor.unserialize()
vulnerável está sendo chamado usando uma técnica conhecida como "Programação orientada à propriedade", que foi introduzida por Stefan Esser durante a conferência BlackHat de 2010. Essa técnica permite que um invasor reutilize o código existente para criar a sua própria carga de trabalho.YAML.load()
. Os invasores podem transmitir cadeias especialmente projetadas para uma chamada vulnerável YAML.load()
, resultando na injeção de objetos arbitrários Ruby no programa, desde que a classe seja carregada no aplicativo no momento da desserialização. Isso pode permitir uma vasta gama de oportunidades de ataque, como ignorar a lógica de validação para encontrar vulnerabilidades de cross-site scripting, permitis a SQL Injection por meio do que parecem ser valores codificados ou mesmo uma execução de código completo.YAML.load()
com dados fornecidos pelo usuário.
...
class Transaction
attr_accessor :id
def initialize(num=nil)
@id = num.is_a?(Numeric) ? num : nil
end
def print_details
unless @id.nil?
print $conn.query("SELECT * FROM transactions WHERE id=#{@id}")
end
end
end
...
user = YAML.load(params[:user]);
user.print_details
...
Example 1
, o aplicativo pode estar esperando um objeto User
serializado, o qual também tem uma função chamada print_details
, mas um invasor pode de fato fornecer uma versão serializada de um objeto Transaction
com um valor predefinido para o respectivo atributo @id
. Uma solicitação como essa pode, portanto, permitir que se ignore a verificação de validação que tenta se certificar de que @id
seja um valor numérico
GET REQUEST: http://server/page?user=!ruby%2Fobject%3ATransaction%0Aid%3A4%20or%205%3D5%0A
user
é atribuído !ruby/object:Transaction\nid:4 or 5=5\n
.Transaction
, definindo como @id
para "4 or 5=5"
. Quando o desenvolvedor acreditar que está chamando User#print_details()
, na verdade estará chamando Transaction#print_details()
e a interpolação de cadeia do Ruby significará que a consulta SQL será alterada para executar a consulta: SELECT * FROM transactions WHERE id=4 or 5=5
. Devido à cláusula extra adicionada, a consulta é avaliada como true
e retornará tudo dentro da tabela transactions
em vez da única linha pretendida pelo desenvolvedor.YAML.load()
vulnerável está sendo chamado usando uma técnica conhecida como "Programação orientada à propriedade", que foi introduzida por Stefan Esser durante a conferência BlackHat de 2010. Essa técnica permite que um invasor reutilize o código existente para criar a sua própria carga de trabalho.Value Stack
do Struts 2. Permitir a avaliação de expressões não validadas em relação à Value Stack
pode dar acesso a um invasor para acessar e modificar variáveis do sistema ou executar código arbitrário.
OgnlContext ctx = new OgnlContext();
String expression = request.getParameter("input");
Object expr = Ognl.parseExpression(expression);
Object value = Ognl.getValue(expr, ctx, root);
System.out.println("Value: " + value);
(#rt = @java.lang.Runtime@getRuntime(),#rt.exec("calc.exe"))
%{expr}
) em uma marca do Struts que avalia a expressão OGNL duas vezes. Um invasor no controle do resultado da primeira avaliação pode conseguir controlar a expressão a ser avaliada na segunda avaliação OGNL e injetar expressões OGNL arbitrárias.redirectAction
é conhecido por avaliar os respectivos parâmetros duas vezes. Nesse caso, o resultado da expressão OGNL forçada no parâmetro actionName
pode ser controlada por um invasor, fornecendo um parâmetro de solicitação redirect
.
...
<action name="index" class="com.acme.MyAction">
<result type="redirectAction">
<param name="actionName">${#parameters['redirect']}</param>
<param name="namespace">/foo</param>
</result>
</action>
...
%{#parameters['redirect']}
retornando uma cadeia de caracteres controlável pelo usuário que será avaliada como uma expressão OGNL, permitindo que o invasor avalie expressões OGNL arbitrárias.execute()
. O caractere !
(bang) ou o prefixo method:
podem ser usados no URL de ação para invocar qualquer método público na ação em que "Dynamic Method Invocation" estiver habilitado. Na versão Struts 2 2.3.20
, o mecanismo para invocar o método alternativo que se baseava anteriormente na reflexão foi substituído para usar OGNL, o que permitia que os invasores fornecessem expressões OGNL mal-intencionadas em vez de um nome de método alternativo.