Problemas de validação e representação da entrada são causados por metacaracteres, codificações alternativas e representações numéricas. Confiar na entrada resulta em problemas de segurança. Os problemas incluem: “Buffer Overflows”, ataques de “Cross-Site Scripting”, “SQL Injection”, entre outros.
Value Stack do Struts 2. Permitir a avaliação de expressões não validadas em relação à Value Stack pode dar acesso a um invasor para acessar e modificar variáveis do sistema ou executar código arbitrário.
OgnlContext ctx = new OgnlContext();
String expression = request.getParameter("input");
Object expr = Ognl.parseExpression(expression);
Object value = Ognl.getValue(expr, ctx, root);
System.out.println("Value: " + value);
(#rt = @java.lang.Runtime@getRuntime(),#rt.exec("calc.exe"))
%{expr}) em uma marca do Struts que avalia a expressão OGNL duas vezes. Um invasor no controle do resultado da primeira avaliação pode conseguir controlar a expressão a ser avaliada na segunda avaliação OGNL e injetar expressões OGNL arbitrárias.redirectAction é conhecido por avaliar os respectivos parâmetros duas vezes. Nesse caso, o resultado da expressão OGNL forçada no parâmetro actionName pode ser controlada por um invasor, fornecendo um parâmetro de solicitação redirect .
...
<action name="index" class="com.acme.MyAction">
<result type="redirectAction">
<param name="actionName">${#parameters['redirect']}</param>
<param name="namespace">/foo</param>
</result>
</action>
...
%{#parameters['redirect']} retornando uma cadeia de caracteres controlável pelo usuário que será avaliada como uma expressão OGNL, permitindo que o invasor avalie expressões OGNL arbitrárias.execute(). O caractere ! (bang) ou o prefixo method: podem ser usados no URL de ação para invocar qualquer método público na ação em que "Dynamic Method Invocation" estiver habilitado. Na versão Struts 2 2.3.20, o mecanismo para invocar o método alternativo que se baseava anteriormente na reflexão foi substituído para usar OGNL, o que permitia que os invasores fornecessem expressões OGNL mal-intencionadas em vez de um nome de método alternativo.debug:console irá exibir um console de avaliação OGNL, permitindo que os desenvolvedores avaliem qualquer expressão OGNL arbitrária no servidor.command permitirá que os desenvolvedores enviem expressões OGNL arbitrárias para serem avaliadas usando o parâmetro de solicitação expression.xml despejará os parâmetros, o contexto, a sessão e a pilha de valores como um documento XML.browser despejará os parâmetros, o contexto, a sessão e a pilha de valores como um documento HTML navegável.dest quando esse usuário clica no link.
...
DATA: str_dest TYPE c.
str_dest = request->get_form_field( 'dest' ).
response->redirect( str_dest ).
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando esse usuário clica no link.
...
var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
var strDest:String = String(params["dest"]);
host.updateLocation(strDest);
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".PageReference que consiste em uma URL do parâmetro de solicitação dest.
public PageReference pageAction() {
...
PageReference ref = ApexPages.currentPage();
Map<String,String> params = ref.getParameters();
return new PageReference(params.get('dest'));
}
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando esse usuário clica no link.
String redirect = Request["dest"];
Response.Redirect(redirect);
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando esse usuário clica no link.
...
final server = await HttpServer.bind(host, port);
await for (HttpRequest request in server) {
final response = request.response;
final headers = request.headers;
final strDest = headers.value('strDest');
response.headers.contentType = ContentType.text;
response.redirect(Uri.parse(strDest!));
await response.close();
}
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando esse usuário clica no link.
...
strDest := r.Form.Get("dest")
http.Redirect(w, r, strDest, http.StatusSeeOther)
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando esse usuário clica no link.
<end-state id="redirectView" view="externalRedirect:#{requestParameters.dest}" />
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando um usuário clica no link.
...
strDest = form.dest.value;
window.open(strDest,"myresults");
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando um usuário clica no link.
<%
...
$strDest = $_GET["dest"];
header("Location: " . $strDest);
...
%>
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando um usuário clica no link.
...
-- Assume QUERY_STRING looks like dest=http://www.wilyhacker.com
dest := SUBSTR(OWA_UTIL.get_cgi_env('QUERY_STRING'), 6);
OWA_UTIL.redirect_url('dest');
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest quando um usuário clica no link.
...
strDest = request.field("dest")
redirect(strDest)
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest:
...
str_dest = req.params['dest']
...
res = Rack::Response.new
...
res.redirect("http://#{dest}")
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".dest.
def myAction = Action { implicit request =>
...
request.getQueryString("dest") match {
case Some(location) => Redirect(location)
case None => Ok("No url found!")
}
...
}
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".requestToLoad a fim de que aponte para o parâmetro "dest" da URL original, se existente, e para a URL original por meio do esquema http:// de outra maneira, e finalmente carrega essa solicitação dentro de um WKWebView:
...
let requestToLoad : String
...
func application(app: UIApplication, openURL url: NSURL, options: [String : AnyObject]) -> Bool {
...
if let urlComponents = NSURLComponents(URL: url, resolvingAgainstBaseURL: false) {
if let queryItems = urlComponents.queryItems as? [NSURLQueryItem]{
for queryItem in queryItems {
if queryItem.name == "dest" {
if let value = queryItem.value {
request = NSURLRequest(URL:NSURL(string:value))
requestToLoad = request
break
}
}
}
}
if requestToLoad == nil {
urlComponents.scheme = "http"
requestToLoad = NSURLRequest(URL:urlComponents.URL)
}
}
...
}
...
...
let webView : WKWebView
let appDelegate = UIApplication.sharedApplication().delegate as! AppDelegate
webView.loadRequest(appDelegate.requestToLoad)
...
Example 1 tentará solicitar e carregar "http://www.wilyhacker.com" no WKWebView.dest quando um usuário clica no link.
...
strDest = Request.Form('dest')
HyperLink.NavigateTo strDest
...
Example 1 redirecionará o navegador para "http://www.wilyhacker.com".strncpy(), podem causar vulnerabilidades quando usadas incorretamente. A combinação entre manipulação de memória e suposições equivocadas sobre o tamanho ou a composição de um determinado dado é a causa raiz da maioria dos estouros de buffer.memcpy() lê a memória de fora dos limites alocados de cArray, que contém elementos MAX do tipo char, enquanto iArray contém elementos MAX do tipo int.Exemplo 2: O seguinte programa curto usa um argumento de linha de comando não confiável como buffer de pesquisa em uma chamada para
void MemFuncs() {
char array1[MAX];
int array2[MAX];
memcpy(array2, array1, sizeof(array2));
}
memchr() com um número constante de bytes a serem analisados.
int main(int argc, char** argv) {
char* ret = memchr(argv[0], 'x', MAX_PATH);
printf("%s\n", ret);
}
argv[0] pesquisando os dados de argv[0] até um número constante de bytes. No entanto, como o número (constante) de bytes pode ser maior que os dados alocados para argv[0], a pesquisa pode continuar além dos dados alocados para argv[0]. Esse será o caso quando x não se encontrar em argv[0].strncpy(), podem causar vulnerabilidades quando usadas incorretamente. A combinação entre manipulação de memória e suposições equivocadas sobre o tamanho ou a composição de um determinado dado é a causa raiz da maioria dos estouros de buffer.char, com a última referência introduzindo um erro "off-by-one".
char Read() {
char buf[5];
return 0
+ buf[0]
+ buf[1]
+ buf[2]
+ buf[3]
+ buf[4]
+ buf[5];
}
strncpy(), podem causar vulnerabilidades quando usadas incorretamente. A combinação entre manipulação de memória e suposições equivocadas sobre o tamanho ou a composição de um determinado dado é a causa raiz da maioria dos estouros de buffer.getInputLength() é menor que o tamanho do buffer de destino output. No entanto, como a comparação entre len e MAX é assinada, se len for negativo, ele se tornará um número positivo muito grande quando for convertido em um argumento sem sinal para memcpy().
void TypeConvert() {
char input[MAX];
char output[MAX];
fillBuffer(input);
int len = getInputLength();
if (len <= MAX) {
memcpy(output, input, len);
}
...
}
...
*Get the report that is to be deleted
r_name = request->get_form_field( 'report_name' ).
CONCATENATE `C:\\users\\reports\\` r_name INTO dsn.
DELETE DATASET dsn.
...
..\\..\\usr\\sap\\DVEBMGS00\\exe\\disp+work.exe", o aplicativo excluirá um arquivo crítico e travará imediatamente o sistema SAP.
...
PARAMETERS: p_date TYPE string.
*Get the invoice file for the date provided
CALL FUNCTION 'FILE_GET_NAME'
EXPORTING
logical_filename = 'INVOICE'
parameter_1 = p_date
IMPORTING
file_name = v_file
EXCEPTIONS
file_not_found = 1
OTHERS = 2.
IF sy-subrc <> 0.
* Implement suitable error handling here
ENDIF.
OPEN DATASET v_file FOR INPUT IN TEXT MODE.
DO.
READ DATASET v_file INTO v_record.
IF SY-SUBRC NE 0.
EXIT.
ELSE.
WRITE: / v_record.
ENDIF.
ENDDO.
...
..\\..\\usr\\sap\\sys\\profile\\default.pfl" em vez de uma data válida, o aplicativo revelará todas as configurações padrão de parâmetros de perfil do servidor de aplicativos SAP, possivelmente provocando ataques mais refinados.../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e para gravar em um console de "Depuração" ou em um arquivo de log. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
var rName:String = String(params["reportName"]);
var rFile:File = new File("/usr/local/apfr/reports/" + rName);
...
rFile.deleteFile();
.txt.
var fs:FileStream = new FileStream();
fs.open(new File(String(configStream.readObject())+".txt"), FileMode.READ);
fs.readBytes(arr);
trace(arr);
public class MyController {
...
public PageRerference loadRes() {
PageReference ref = ApexPages.currentPage();
Map<String,String> params = ref.getParameters();
if (params.containsKey('resName')) {
if (params.containsKey('resPath')) {
return PageReference.forResource(params.get('resName'), params.get('resPath'));
}
}
return null;
}
}
..\\..\\Windows\\System32\\krnl386.exe", que fará com que o aplicativo exclua um importante arquivo do sistema Windows.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão ".txt".
String rName = Request.Item("reportName");
...
File.delete("C:\\users\\reports\\" + rName);
sr = new StreamReader(resmngr.GetString("sub")+".txt");
while ((line = sr.ReadLine()) != null) {
Console.WriteLine(line);
}
../../apache/conf/httpd.conf", que fará com que o aplicativo exclua o arquivo de configuração especificado.Exemplo 2: O código a seguir usa a entrada da linha de comando para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem criar links flexíveis para o arquivo, eles poderão usar esse programa para ler a primeira parte de qualquer arquivo no sistema.
char* rName = getenv("reportName");
...
unlink(rName);
ifstream ifs(argv[0]);
string s;
ifs >> s;
cout << s;
...
EXEC CICS
WEB READ
FORMFIELD(FILE)
VALUE(FILENAME)
...
END-EXEC.
EXEC CICS
READ
FILE(FILENAME)
INTO(RECORD)
RIDFLD(ACCTNO)
UPDATE
...
END-EXEC.
...
..\\..\\Windows\\System32\\krnl386.exe", que fará com que o aplicativo exclua um importante arquivo do sistema Windows.
<cffile action = "delete"
file = "C:\\users\\reports\\#Form.reportName#">
final server = await HttpServer.bind('localhost', 18081);
server.listen((request) async {
final headers = request.headers;
final path = headers.value('path');
File(path!).delete();
}
Example 1, não há validação de headers.value('path') antes de executar funções de exclusão em arquivos.../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
rName := "/usr/local/apfr/reports/" + req.FormValue("fName")
rFile, err := os.OpenFile(rName, os.O_RDWR|os.O_CREATE, 0755)
defer os.Remove(rName);
defer rFile.Close()
...
.txt.
...
config := ReadConfigFile()
filename := config.fName + ".txt";
data, err := ioutil.ReadFile(filename)
...
fmt.Println(string(data))
../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
String rName = request.getParameter("reportName");
File rFile = new File("/usr/local/apfr/reports/" + rName);
...
rFile.delete();
.txt.
fis = new FileInputStream(cfg.getProperty("sub")+".txt");
amt = fis.read(arr);
out.println(arr);
Example 1 à plataforma Android.
...
String rName = this.getIntent().getExtras().getString("reportName");
File rFile = getBaseContext().getFileStreamPath(rName);
...
rFile.delete();
...
../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: Este código usa a entrada do armazenamento local para determinar qual arquivo abrir e ecoar de volta ao usuário. Se os usuários mal-intencionados puderem alterar o conteúdo do armazenamento local, eles poderão usar o programa para ler qualquer arquivo no sistema que termine com a extensão
...
var reportNameParam = "reportName=";
var reportIndex = document.indexOf(reportNameParam);
if (reportIndex < 0) return;
var rName = document.URL.substring(reportIndex+reportNameParam.length);
window.requestFileSystem(window.TEMPORARY, 1024*1024, function(fs) {
fs.root.getFile('/usr/local/apfr/reports/' + rName, {create: false}, function(fileEntry) {
fileEntry.remove(function() {
console.log('File removed.');
}, errorHandler);
}, errorHandler);
}, errorHandler);
.txt.
...
var filename = localStorage.sub + '.txt';
function oninit(fs) {
fs.root.getFile(filename, {}, function(fileEntry) {
fileEntry.file(function(file) {
var reader = new FileReader();
reader.onloadend = function(e) {
var txtArea = document.createElement('textarea');
txtArea.value = this.result;
document.body.appendChild(txtArea);
};
reader.readAsText(file);
}, errorHandler);
}, errorHandler);
}
window.requestFileSystem(window.TEMPORARY, 1024*1024, oninit, errorHandler);
...
../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
val rName: String = request.getParameter("reportName")
val rFile = File("/usr/local/apfr/reports/$rName")
...
rFile.delete()
.txt.
fis = FileInputStream(cfg.getProperty("sub").toString() + ".txt")
amt = fis.read(arr)
out.println(arr)
Example 1 à plataforma Android.
...
val rName: String = getIntent().getExtras().getString("reportName")
val rFile: File = getBaseContext().getFileStreamPath(rName)
...
rFile.delete()
...
- (NSData*) testFileManager {
NSString *rootfolder = @"/Documents/";
NSString *filePath = [rootfolder stringByAppendingString:[fileName text]];
NSFileManager *fm = [NSFileManager defaultManager];
return [fm contentsAtPath:filePath];
}
../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
$rName = $_GET['reportName'];
$rFile = fopen("/usr/local/apfr/reports/" . rName,"a+");
...
unlink($rFile);
.txt.
...
$filename = $CONFIG_TXT['sub'] . ".txt";
$handle = fopen($filename,"r");
$amt = fread($handle, filesize($filename));
echo $amt;
...
../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
rName = req.field('reportName')
rFile = os.open("/usr/local/apfr/reports/" + rName)
...
os.unlink(rFile);
.txt.
...
filename = CONFIG_TXT['sub'] + ".txt";
handle = os.open(filename)
print handle
...
../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
rName = req['reportName']
File.delete("/usr/local/apfr/reports/#{rName}")
.txt.
...
fis = File.new("#{cfg.getProperty("sub")}.txt")
amt = fis.read
puts amt
../../tomcat/conf/server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
def readFile(reportName: String) = Action { request =>
val rFile = new File("/usr/local/apfr/reports/" + reportName)
...
rFile.delete()
}
.txt.
val fis = new FileInputStream(cfg.getProperty("sub")+".txt")
val amt = fis.read(arr)
out.println(arr)
func testFileManager() -> NSData {
let filePath : String = "/Documents/\(fileName.text)"
let fm : NSFileManager = NSFileManager.defaultManager()
return fm.contentsAtPath(filePath)
}
..\conf\server.xml", que faz com que o aplicativo exclua um dos seus próprios arquivos de configuração.Exemplo 2: O código a seguir usa a entrada de um arquivo de configuração para determinar qual arquivo deve ser aberto e ecoado de volta para o usuário. Se o programa for executado com privilégios adequados, e usuários mal-intencionados puderem alterar o arquivo de configuração, eles poderão usar esse programa para ler qualquer arquivo no sistema que termine com a extensão
Dim rName As String
Dim fso As New FileSystemObject
Dim rFile as File
Set rName = Request.Form("reportName")
Set rFile = fso.GetFile("C:\reports\" & rName)
...
fso.DeleteFile("C:\reports\" & rName)
...
.txt.
Dim fileName As String
Dim tsContent As String
Dim ts As TextStream
Dim fso As New FileSystemObject
fileName = GetPrivateProfileString("MyApp", "sub", _
"", value, Len(value), _
App.Path & "\" & "Config.ini")
...
Set ts = fso.OpenTextFile(fileName,1)
tsContent = ts.ReadAll
Response.Write tsContent
...
Path.Combine toma vários caminhos de arquivos como argumentos. Ele os concatena para obter um caminho completo, que normalmente é seguido por uma chamada para read() ou write() para esse arquivo. A documentação descreve vários cenários diferentes com base no fato de o primeiro ou os parâmetros restantes serem caminhos absolutos. Dado um caminho absoluto para o segundo parâmetro ou os restantes, Path.Combine() retornará esse caminho absoluto. Os parâmetros anteriores serão ignorados. As implicações aqui são significativas para aplicativos que possuem código semelhante ao exemplo a seguir.
// Called with user-controlled data
public static bytes[] getFile(String filename)
{
String imageDir = "\\FILESHARE\images\";
filepath = Path.Combine(imageDir, filename);
return File.ReadAllBytes(filepath);
}
C:\\inetpub\wwwroot\web.config), um invasor pode controlar qual arquivo é retornado pelo aplicativo.
...
" Add Binary File to
CALL METHOD lr_abap_zip->add
EXPORTING
name = p_ifile
content = lv_bufferx.
" Read Binary File to
CALL METHOD lr_abap_zip->get
EXPORTING
name = p_ifile
IMPORTING
content = lv_bufferx2.
...
Example 1, não há nenhuma validação de p_ifile antes da realização de funções de leitura/gravação nos dados dentro dessa entrada. Se o arquivo ZIP for originalmente colocado no diretório "/tmp/" de um computador Unix, uma entrada ZIP for "../etc/hosts" e o aplicativo for executado com as permissões necessárias, ele substituirá o arquivo hosts do sistema. Isso, por sua vez, permitirá que o tráfego da máquina fosse para qualquer lugar desejado pelo invasor, por exemplo, de volta para a máquina do invasor.
public static void UnzipFile(ZipArchive archive, string destDirectory)
{
foreach (var entry in archive.Entries)
{
string file = entry.FullName;
if (!string.IsNullOrEmpty(file))
{
string destFileName = Path.Combine(destDirectory, file);
entry.ExtractToFile(destFileName, true);
}
}
}
Example 1, não há nenhuma validação de entry.FullName antes da realização de operações de leitura/gravação nos dados dentro dessa entrada. Se o arquivo Zip fosse originalmente colocado no diretório "C:\TEMP", o nome de uma entrada Zip tivesse "..\ segmentos" e o aplicativo fosse executado com as permissões necessárias, ele substituiria os arquivos do sistema.
func Unzip(src string, dest string) ([]string, error) {
var filenames []string
r, err := zip.OpenReader(src)
if err != nil {
return filenames, err
}
defer r.Close()
for _, f := range r.File {
// Store filename/path for returning and using later on
fpath := filepath.Join(dest, f.Name)
filenames = append(filenames, fpath)
if f.FileInfo().IsDir() {
// Make Folder
os.MkdirAll(fpath, os.ModePerm)
continue
}
// Make File
if err = os.MkdirAll(filepath.Dir(fpath), os.ModePerm); err != nil {
return filenames, err
}
outFile, err := os.OpenFile(fpath, os.O_WRONLY|os.O_CREATE|os.O_TRUNC, f.Mode())
if err != nil {
return filenames, err
}
rc, err := f.Open()
if err != nil {
return filenames, err
}
_, err = io.Copy(outFile, rc)
// Close the file without defer to close before next iteration of loop
outFile.Close()
rc.Close()
if err != nil {
return filenames, err
}
}
return filenames, nil
}
Example 1, não há nenhuma validação de f.Name antes da realização de funções de leitura/gravação nos dados dentro dessa entrada. Se o arquivo Zip fosse originalmente colocado no diretório "/tmp/" de um computador baseado em Unix, uma entrada Zip fosse "../etc/hosts" e o aplicativo fosse executado com as permissões necessárias, ele substituiria o arquivo hosts do sistema. Isso, por sua vez, permitiria que o tráfego da máquina fosse para qualquer lugar desejado pelo invasor, por exemplo, de volta para a máquina do invasor.
private static final int BUFSIZE = 512;
private static final int TOOBIG = 0x640000;
...
public final void unzip(String filename) throws IOException {
FileInputStream fis = new FileInputStream(filename);
ZipInputStream zis = new ZipInputStream(new BufferedInputStream(fis));
ZipEntry zipEntry = null;
int numOfEntries = 0;
long total = 0;
try {
while ((zipEntry = zis.getNextEntry()) != null) {
byte data[] = new byte[BUFSIZE];
int count = 0;
String outFileName = zipEntry.getName();
if (zipEntry.isDirectory()){
new File(outFileName).mkdir(); //create the new directory
continue;
}
FileOutputStream outFile = new FileOutputStream(outFileName);
BufferedOutputStream dest = new BufferedOutputStream(outFile, BUFSIZE);
//read data from Zip, but do not read huge entries
while (total + BUFSIZE <= TOOBIG && (count = zis.read(data, 0, BUFSIZE)) != -1) {
dest.write(data, 0, count);
total += count;
}
...
}
} finally{
zis.close();
}
}
...
Example 1, não há nenhuma validação de zipEntry.getName() antes da realização de funções de leitura/gravação nos dados dentro dessa entrada. Se o arquivo Zip fosse originalmente colocado no diretório "/tmp/" de um computador baseado em Unix, uma entrada Zip fosse "../etc/hosts" e o aplicativo fosse executado com as permissões necessárias, ele substituiria o arquivo hosts do sistema. Isso, por sua vez, permitiria que o tráfego da máquina fosse para qualquer lugar desejado pelo invasor, por exemplo, de volta para a máquina do invasor.
var unzipper = require('unzipper');
var fs = require('fs');
var untrusted_zip = getZipFromRequest();
fs.createReadStream(zipPath).pipe(unzipper.Extract({ path: 'out' }));
ZZArchive* archive = [ZZArchive archiveWithURL:[NSURL fileURLWithPath: zipPath] error:&error];
for (ZZArchiveEntry* entry in archive.entries) {
NSString *fullPath = [NSString stringWithFormat: @"%@/%@", destPath, [entry fileName]];
[[entry newDataWithError:nil] writeToFile:newFullPath atomically:YES];
}
Example 1, não há nenhuma validação de entry.fileName antes da realização de funções de leitura/gravação nos dados dentro dessa entrada. Se o arquivo Zip fosse colocado originalmente no diretório "Documents/hot_patches" de um aplicativo iOS, uma entrada Zip fosse "../js/page.js", ele substituiria o arquivo page.js. Isso, por sua vez, permitiria que um invasor injetasse um código mal-intencionado que pudesse resultar na execução de código.
...
$zip = new ZipArchive();
$zip->open("userdefined.zip", ZipArchive::RDONLY);
$zpm = $zip->getNameIndex(0);
$zip->extractTo($zpm);
...
Example 1, não há nenhuma validação de f.Name antes da realização de funções de leitura/gravação nos dados dentro dessa entrada. Se o arquivo Zip estiver no diretório "/tmp/" de um computador Unix, uma entrada Zip for "../etc/hosts" e o aplicativo for executado com as permissões necessárias, ele substituirá o arquivo hosts do sistema. Isso permitirá que o tráfego da máquina fosse para qualquer lugar desejado pelo invasor, por exemplo, de volta para a máquina do invasor.
import zipfile
import tarfile
def unzip(archive_name):
zf = zipfile.ZipFile(archive_name)
zf.extractall(".")
zf.close()
def untar(archive_name):
tf = tarfile.TarFile(archive_name)
tf.extractall(".")
tf.close()
Exemplo 2: O exemplo a seguir extrai arquivos de um arquivo Zip e os grava de maneira insegura no disco.
import better.files._
...
val zipPath: File = getUntrustedZip()
val destinationPath = file"out/dest"
zipPath.unzipTo(destination = destinationPath)
import better.files._
...
val zipPath: File = getUntrustedZip()
val destinationPath = file"out/dest"
zipPath.newZipInputStream.mapEntries( (entry : ZipEntry) => {
entry.extractTo(destinationPath, new FileInputStream(entry.getName))
})
Example 2, não há nenhuma validação de entry.getName antes da realização de funções de leitura/gravação nos dados dentro dessa entrada. Se o arquivo Zip fosse originalmente colocado no diretório "/tmp/" de um computador baseado em Unix, uma entrada Zip fosse "../etc/hosts" e o aplicativo fosse executado com as permissões necessárias, ele substituiria o arquivo hosts do sistema. Isso, por sua vez, permitiria que o tráfego da máquina fosse para qualquer lugar desejado pelo invasor, por exemplo, de volta para a máquina do invasor.
let archive = try ZZArchive.init(url: URL(fileURLWithPath: zipPath))
for entry in archive.entries {
let fullPath = URL(fileURLWithPath: destPath + "/" + entry.fileName)
try entry.newData().write(to: fullPath)
}
Example 1, não há nenhuma validação de entry.fileName antes da realização de funções de leitura/gravação nos dados dentro dessa entrada. Se o arquivo Zip fosse colocado originalmente no diretório "Documents/hot_patches" de um aplicativo iOS, uma entrada Zip fosse "../js/page.js", ele substituiria o arquivo page.js. Isso, por sua vez, permitiria que um invasor injetasse um código mal-intencionado que pudesse resultar na execução de código.varName no seguinte segmento de código ColdFusion, a chamada para SetVariable() poderá substituir qualquer variável arbitrária, inclusive #first#. Nesse caso, se um valor mal-intencionado que contém JavaScript sobrescrever #first#, o programa ficará vulnerável à criação de scripts entre sites.
<cfset first = "User">
<cfscript>
SetVariable(url.varName, url.varValue);
</cfscript>
<cfoutput>
#first#
</cfoutput>
str no segmento a seguir de código PHP, a chamada para parse_str() poderá substituir todas as variáveis arbitrárias no escopo atual, incluindo first. Nesse caso, se um valor mal-intencionado que contém JavaScript sobrescrever first, o programa ficará vulnerável à criação de scripts entre sites.
<?php
$first="User";
...
$str = $_SERVER['QUERY_STRING'];
parse_str($str);
echo $first;
?>
str no segmento a seguir de código PHP, a chamada para mb_parse_str() poderá substituir todas as variáveis arbitrárias, incluindo first. Nesse caso, se um valor mal-intencionado que contém JavaScript sobrescrever first, o programa ficará vulnerável à criação de scripts entre sites.
<?php
$first="User";
...
$str = $_SERVER['QUERY_STRING'];
mb_parse_str($str);
echo $first;
?>
NSPredicate dinâmico com a entrada proveniente de uma fonte não confiável pode permitir que um invasor modifique o significado da instrução.NSPredicate especificam como uma coleção devem ser buscadas ou filtradas de fontes, como o sistema de armazenamento persistente CoreData, uma matriz e um dicionário. Sua linguagem de consulta fornece uma linguagem expressiva semelhante a SQL, para definir condições lógicas em que a coleção deve ser pesquisada.NSPredicate é usado como fator de autenticação para acessar alguns dos dados armazenados pelo aplicativo. Como os usuários podem fornecer valores de PIN arbitrários, eles serão capazes de usar um caractere curinga (*) para contornar a proteção por PIN.
NSString *pin = [self getPinFromUser];
NSPredicate *predicate = [NSPredicate predicateWithFormat:@"pin LIKE %@", pin];
NSPredicate dinâmico com a entrada proveniente de uma fonte não confiável pode permitir que um invasor modifique o significado da instrução.NSPredicate especificam como uma coleção devem ser buscadas ou filtradas de fontes, como o sistema de armazenamento persistente CoreData, uma matriz e um dicionário. Sua linguagem de consulta fornece uma linguagem expressiva semelhante a SQL, para definir condições lógicas em que a coleção deve ser pesquisada.NSPredicate é usado como fator de autenticação para acessar alguns dos dados armazenados pelo aplicativo. Como os usuários podem fornecer valores de PIN arbitrários, eles serão capazes de usar um caractere curinga (*) para contornar a proteção por PIN.
let pin = getPinFromUser();
let predicate = NSPredicate(format: "pin LIKE '\(pin)'", argumentArray: nil)
...
tid = request->get_form_field( 'tid' ).
CALL TRANSACTION tid USING bdcdata MODE 'N'
MESSAGES INTO messtab.
...
APPHOME de configuração do aplicativo e, em seguida, carrega uma biblioteca nativa com base em um caminho relativo a partir do diretório especificado.
...
string lib = ConfigurationManager.AppSettings["APPHOME"];
Environment.ExitCode = AppDomain.CurrentDomain.ExecuteAssembly(lib);
...
APPHOME de configuração desse aplicativo de forma que ela aponte para um caminho diferente contendo uma versão mal-intencionada de LIBNAME. Como o programa não valida o valor lido do ambiente, se um invasor puder controlar o valor da propriedade do sistema APPHOME, ele poderá enganar o aplicativo, fazendo com que este execute o código mal-intencionado, e assumir o controle do sistema.
...
RegQueryValueEx(hkey, "APPHOME",
0, 0, (BYTE*)home, &size);
char* lib=(char*)malloc(strlen(home)+strlen(INITLIB));
if (lib) {
strcpy(lib,home);
strcat(lib,INITCMD);
LoadLibrary(lib);
}
...
INITLIB. Como o programa não valida o valor lido do ambiente, se um invasor conseguir controlar o valor de APPHOME, ele poderá enganar o arquivo para que ele execute código mal-intencionado.liberty.dll, que se destina a ser encontrada em um diretório padrão do sistema.
LoadLibrary("liberty.dll");
liberty.dll. Se um invasor colocar uma biblioteca mal-intencionada chamada liberty.dll na ordem de pesquisa em uma posição superior à do arquivo pretendido e tiver uma maneira de executar o programa no respectivo ambiente, e não no ambiente de um servidor Web, o aplicativo carregará essa biblioteca mal-intencionada em vez da biblioteca confiável. Como esse tipo de aplicativo é executado com privilégios elevados, o conteúdo do arquivo liberty.dll do invasor é agora executado com privilégios elevados, possivelmente dando a ele controle total sobre o sistema.LoadLibrary() quando um caminho absoluto não é especificado. Se o diretório atual for pesquisado antes dos diretórios do sistema, como era o caso até as versões mais recentes do Windows, esse tipo de ataque se tornará comum caso o invasor consiga executar o programa localmente. A ordem de pesquisa depende da versão do sistema operacional e é controlada em sistemas operacionais mais recentes pelo valor desta chave do registro:
HKLM\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
LoadLibrary() se comporta da seguinte maneira:SafeDllSearchMode for 1, a ordem de pesquisa será a seguinte:PATH.SafeDllSearchMode for 0, a ordem de pesquisa será a seguinte:PATH.
...
ACCEPT PROGNAME.
EXEC CICS
LINK PROGRAM(PROGNAME)
COMMAREA(COMA)
LENGTH(LENA)
DATALENGTH(LENI)
SYSID('CONX')
END-EXEC.
...
APPHOME para determinar o diretório no qual ele está instalado e, em seguida, carrega uma biblioteca nativa com base em um caminho relativo a partir do diretório especificado.
...
String home = System.getProperty("APPHOME");
String lib = home + LIBNAME;
java.lang.Runtime.getRuntime().load(lib);
...
APPHOME de forma que ela aponte para um caminho diferente contendo uma versão mal-intencionada de LIBNAME. Como o programa não valida o valor lido do ambiente, se um invasor puder controlar o valor da propriedade do sistema APPHOME, ele poderá enganar o aplicativo, fazendo com que este execute o código mal-intencionado, e assumir o controle do sistema.System.loadLibrary() para carregar o código de uma biblioteca nativa denominada library.dll, que é normalmente encontrada em um diretório de sistema padrão.
...
System.loadLibrary("library.dll");
...
System.loadLibrary() aceita um nome de biblioteca, mas não um caminho, para a biblioteca a ser carregada. A partir da documentação da API Java 1.4.2, essa função se comporta da seguinte maneira [1]:library.dll em uma posição na ordem de pesquisa superior à do arquivo que o aplicativo pretende carregar, este carregará a cópia mal-intencionada em vez do arquivo pretendido. Por causa da natureza do aplicativo, ele é executado com privilégios elevados, o que significa que o conteúdo do arquivo library.dll do invasor será agora executado com privilégios elevados, possivelmente concedendo a ele controle total sobre o sistema.Express para carregar dinamicamente um arquivo de biblioteca. Em seguida, Node.js continua a pesquisar o respectivo caminho de carga de biblioteca normal em busca de um arquivo ou uma pasta que contenha essa biblioteca[1].
var express = require('express');
var app = express();
app.get('/', function(req, res, next) {
res.render('tutorial/' + req.params.page);
});
Express, a página transmitida para Response.render() carregará uma biblioteca da extensão quando for anteriormente desconhecida. Isso geralmente não apresenta prolemas para entradas, como "foo.pug", pois significará o carregamento da biblioteca pug, um notório mecanismo de modelo. No entanto, se um invasor puder controlar a página e, portanto, a extensão, ele poderá optar por carregar qualquer biblioteca nos caminhos de carregamento de módulo Node.js. Como o programa não valida as informações recebidas do parâmetro de URL, o invasor pode enganar o aplicativo, fazendo com que ele execute código mal-intencionado, e assumir o controle do sistema.APPHOME para determinar o diretório no qual ele está instalado e, em seguida, carrega uma biblioteca nativa com base em um caminho relativo a partir do diretório especificado.
...
$home = getenv("APPHOME");
$lib = $home + $LIBNAME;
dl($lib);
...
APPHOME de forma que ela aponte para um caminho diferente contendo uma versão mal-intencionada de LIBNAME. Como o programa não valida o valor lido do ambiente, se um invasor puder controlar o valor da propriedade do sistema APPHOME, ele poderá enganar o aplicativo, fazendo com que este execute o código mal-intencionado, e assumir o controle do sistema.dl() para carregar o código de uma biblioteca chamada sockets.dll, que pode ser carregada de vários locais, dependendo da sua instalação e da sua configuração.
...
dl("sockets");
...
dl() aceita um nome de biblioteca, mas não um caminho, para a biblioteca a ser carregada.sockets.dll em uma posição na ordem de pesquisa superior à do arquivo que o aplicativo pretende carregar, este carregará a cópia mal-intencionada em vez do arquivo pretendido. Por causa da natureza do aplicativo, ele é executado com privilégios elevados, o que significa que o conteúdo do arquivo sockets.dll do invasor será agora executado com privilégios elevados, possivelmente concedendo a ele controle total sobre o sistema.Kernel.system() para executar um executável chamado program.exe, que normalmente é encontrado em um diretório de sistema padrão.
...
system("program.exe")
...
Kernel.system() executa algo por meio de um shell. Se um invasor puder manipular as variáveis de ambiente RUBYSHELL ou COMSPEC, ele poderá apontar para um executável malicioso que será chamado com o comando dado a Kernel.system(). Por causa da natureza do aplicativo, ele é executado com os privilégios necessários para realizar operações do sistema, o que significa que, agora, o program.exe do invasor será executado com esses privilégios, possivelmente concedendo a ele controle total sobre o sistema.Kernel.system(). Se um invasor puder modificar a variável $PATH a fim de que aponte para um binário malicioso chamado program.exe e executar o aplicativo no ambiente dele, o binário malicioso será carregado ao invés do binário pretendido. Por causa da natureza do aplicativo, ele é executado com os privilégios necessários para realizar operações do sistema, o que significa que, agora, o program.exe do invasor será executado com esses privilégios, possivelmente concedendo a ele controle total sobre o sistema.InvokerServlet pode permitir que invasores invoquem qualquer classe no servidor.InvokerServlet preterida pode ser usada para invocar qualquer classe disponível para a máquina virtual do servidor. Ao adivinhar o nome totalmente qualificado de uma classe, um invasor pode carregar não só classes de Servlet, como também classes POJO ou qualquer outra classe disponível para a JVM.
@GetMapping("/prompt_injection")
String generation(String userInput1, ...) {
return this.clientBuilder.build().prompt()
.system(userInput1)
.user(...)
.call()
.content();
}
client = new Anthropic();
# Simulated attacker's input attempting to inject a malicious system prompt
attacker_input = ...
response = client.messages.create(
model = "claude-3-5-sonnet-20240620",
max_tokens=2048,
system = attacker_input,
messages = [
{"role": "user", "content": "Analyze this dataset for anomalies: ..."}
]
);
...
client = OpenAI()
# Simulated attacker's input attempting to inject a malicious system prompt
attacker_input = ...
completion = client.chat.completions.create(
model="gpt-3.5-turbo",
messages=[
{"role": "system", "content": attacker_input},
{"role": "user", "content": "Compose a poem that explains the concept of recursion in programming."}
]
)
@GetMapping("/prompt_injection_persistent")
String generation(String userInput1, ...) {
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery("SELECT * FROM users WHERE ...");
String userName = "";
if (rs != null) {
rs.next();
userName = rs.getString("userName");
}
return this.clientBuilder.build().prompt()
.system("Assist the user " + userName)
.user(userInput1)
.call()
.content();
}
client = new Anthropic();
# Simulated attacker's input attempting to inject a malicious system prompt
attacker_query = ...;
attacker_name = db.qyery('SELECT name FROM user_profiles WHERE ...');
response = client.messages.create(
model = "claude-3-5-sonnet-20240620",
max_tokens=2048,
system = "Provide assistance to the user " + attacker_name,
messages = [
{"role": "user", "content": attacker_query}
]
);
...
client = OpenAI()
# Simulated attacker's input attempting to inject a malicious system prompt
attacker_name = cursor.fetchone()['name']
attacker_query = ...
completion = client.chat.completions.create(
model="gpt-3.5-turbo",
messages=[
{"role": "system", "content": "Provide assistance to the user " + attacker_name},
{"role": "user", "content": attacker_query}
]
)
Object.prototype, se um invasor puder sobrescrever o protótipo de um objeto, ele normalmente poderá sobrescrever a definição de Object.prototype, afetando todos os objetos dentro do aplicativo.undefined em vez de sempre serem explicitamente definidas, então se o protótipo foi poluído, o aplicativo poderá ler inadvertidamente o protótipo em vez do objeto pretendido.lodash para poluir o protótipo do objeto:
import * as lodash from 'lodash'
...
let clonedObject = lodash.merge({}, JSON.parse(untrustedInput));
...
{"__proto__": { "isAdmin": true}}, então Object.prototype terá definido isAdmin = true.
...
let config = {}
if (isAuthorizedAsAdmin()){
config.isAdmin = true;
}
...
if (config.isAdmin) {
// do something as the admin
}
...
isAdmin só deve ser definido como verdadeiro se isAuthorizedAdmin() retorna verdadeiro, porque o aplicativo não consegue definir config.isAdmin = false na outra condição, ele se baseia no fato de que config.isAdmin === undefined === false.config agora foi definido isAdmin === true, que permite que a autorização do administrador seja ignorada.