Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo 1: Neste exemplo de injeção de código, um parâmetro de solicitação está vinculado a um modelo do Razor que é avaliado.

...
	string name = Request["username"];
	string template = "Hello @Model.Name! Welcome " + name + "!";
	string result = Razor.Parse(template, new { Name = "World" });
...

O programa se comporta corretamente quando o parâmetro operation é um valor benigno, como "John". Nesse caso, a variável result recebe um valor de "Hello World! Welcome John!". No entanto, se um invasor especificar operações de linguagens tanto válidas quanto mal-intencionadas, estas serão executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. Por exemplo, o Razor permite a invocação de objetos C#. Se um invasor fosse especificar " @{ System.Diagnostics.Process proc = new System.Diagnostics.Process(); proc.EnableRaisingEvents=false; proc.StartInfo.FileName=\"calc\"; proc.Start(); }" como valor de name, um comando do sistema seria executado no sistema host.

Muitas linguagens de programação modernas permitem a interpretação dinâmica de instruções de origem. Com essa capacidade, os programadores podem realizar instruções dinâmicas com base na entrada recebida do usuário. Vulnerabilidades de injeção de código ocorrem quando o programador pressupõe incorretamente que as instruções fornecidas diretamente pelo usuário executarão somente operações inocentes, como cálculos simples em objetos de usuário ativos ou qualquer outro tipo de modificação do estado do usuário. No entanto, sem a devida validação, um usuário pode especificar operações não pretendidas pelo programador.

Exemplo: Nesse exemplo clássico de injeção de código, o aplicativo implementa uma calculadora básica que permite ao usuário especificar comandos para execução.

...
        userOp = form.operation.value;
        calcResult = eval(userOp);
...

O programa se comporta corretamente quando o parâmetro operation é um valor benigno, como "8 + 7 * 2". Nesse caso, a variável calcResult recebe um valor de 22. No entanto, se um invasor especificar operações de linguagens tanto válidas quanto mal-intencionadas, estas serão executadas com o privilégio total do processo pai. Esses ataques são ainda mais perigosos quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. No caso de JavaScript, o invasor pode utilizar essa vulnerabilidade para realizar um ataque de Cross-Site Scripting.

Muitas linguagens modernas permitem uma interpretação dinâmica das instruções de origem. Essa capacidade pode ser utilizada quando o programador precisa executar instruções fornecidas pelo usuário nos dados, mas prefere utilizar os constructos da linguagem subjacente em vez de implementar um código para interpretar a entrada do usuário. Espera-se que as instruções fornecidas pelo usuário sejam operações inocentes, como pequenos cálculos sobre objetos do usuário ativo, a modificação do estado de objetos do usuário, etc. No entanto, se um programador não for cuidadoso, um usuário pode especificar operações além das intenções do programador.

Exemplo: Um exemplo de aplicativo clássico que pode permitir que constructos de programação subjacentes sejam especificados pelo usuário é uma calculadora. O seguinte código ASP aceita que as operações matemáticas básicas do usuário sejam calculadas e retornadas:

...
        strUserOp = Request.Form('operation')
        strResult = Eval(strUserOp)
...

O comportamento desejado do programa apresenta um exemplo no qual o parâmetro operation é "8 + 7 * 2". A variável strResult retorna um valor de 22. No entanto, se um usuário especificar outras operações de linguagem válidas, elas não só seriam executadas, como executadas com o privilégio completo do processo pai. A execução de código arbitrário torna-se mais perigosa quando a linguagem subjacente fornece acesso a recursos do sistema ou permite a execução de comandos do sistema. Por exemplo, se um invasor especificar operation como " Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')" um comando de desligamento será executado no sistema host.

A serialização. NET transforma os gráficos de objetos em fluxos de bites ou XML contendo os próprios objetos e os metadados necessários para reconstruí-los a partir do fluxo. Os desenvolvedores podem criar um código customizado para auxiliar no processo de desserialização de objetos. NET, onde eles podem substituir os objetos desserializados por objetos diferentes, ou proxies. O processo de desserialização customizado ocorre durante a reconstrução dos objetos, antes que os objetos sejam retornados ao aplicativo e convertidos nos tipos esperados. No momento em que os desenvolvedores tentam impor um tipo esperado, o código pode já ter sido executado.

A Serialização do .NET é usada em estruturas diferentes. Por exemplo:

1. Todas as versões do ASP.NET ignoram a configuração da propriedade EnableViewStateMac, pois ela introduz uma vulnerabilidade de execução remota de código no aplicativo. No entanto, o desenvolvedor pode substituir essa função pela configuração aspnet:AllowInsecureDeserialization e tornar o aplicativo vulnerável a uma execução remota de código.

Exemplo 1: No exemplo a seguir, aspnet:AllowInsecureDeserialization está definido como true.

  <appSettings>
    <add key="aspnet:AllowInsecureDeserialization" value="true" />
  </appSettings>

2. Os sistemas de comunicação remota .NET que dependem da validação do tipo de tempo de execução devem desserializar um fluxo remoto para começar a usá-lo, e um cliente não autorizado pode tentar explorar o momento da desserialização. A comunicação remota do .NET Framework fornece dois níveis de desserialização automática, Low e Full. Low, o valor padrão, protege contra ataques de desserialização por meio da desserialização apenas dos tipos associados à funcionalidade de comunicação remota mais básica, como desserialização automática de tipos de infraestrutura de comunicação remota, um conjunto limitado de tipos implementados pelo sistema e um conjunto básico de tipos personalizados. O nível de desserialização Full suporta a desserialização automática de todos os tipos que o sistema de comunicação remota suporta em todas as situações.

Exemplo 2: No exemplo a seguir, typeFilterLevel está definido como Full.

<system.runtime.remoting>
    <application>
      <channels>
        <channel ref="tcp" port="2000">
          <serverProviders>
            <formatter ref="soap" typeFilterLevel="Full" />
            <formatter ref="binary" typeFilterLevel="Full" />
          </serverProviders>
          <clientProviders>
            <formatter ref="binary"/>
          </clientProviders>
        </channel>
      </channels>
    </application>
    ...
</system.runtime.remoting>

As bibliotecas de serialização Json, que transformam gráficos de objetos em dados formatados Json, podem incluir os metadados necessários para reconstruir os objetos de volta do fluxo Json. Se os invasores puderem especificar os tipos dos objetos a serem reconstruídos e forçar o aplicativo a executar setters arbitrários com dados controlados pelo usuário, eles poderão executar o código arbitrário durante a desserialização do fluxo Json.