Muitos aplicativos usam cookies para comunicar o identificador de sessão de um usuário. Quando o aplicativo é acessado por HTTPS, os cookies são protegidos (os invasores não conseguem detectá-los). Mas se os desenvolvedores permitirem acesso HTTP a partes não confidenciais do aplicativo, o identificador de sessão pode ser roubado. Quando um usuário navega para uma parte desprotegida do site, o cookie, contendo o ID da sessão, é enviado sem proteção. Se os invasores detectam o tráfego, eles poderão ver o ID da sessão e usá-lo para assumir o controle da sessão do usuário.


O exemplo a seguir mostra uma configuração que combina canais inseguros e seguros:

  <property name="filterInvocationDefinitionSource">
    <value>
      CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
      \A/secure/.*\Z=REQUIRES_SECURE_CHANNEL
      \A/acegilogin.jsp.*\Z=REQUIRES_SECURE_CHANNEL
      \A/j_acegi_security_check.*\Z=REQUIRES_SECURE_CHANNEL
      \A.*\Z=REQUIRES_INSECURE_CHANNEL
    </value>
  </property>

O Acegi Security permite a substituição temporária do objeto de autenticação no SecurityContext durante a fase de retorno de chamada do objeto seguro. Isso ocorre apenas se o objeto de autenticação original foi processado com êxito pelo AuthenticationManager e AccessDecisionManager. O RunAsManager cria esse objeto de autenticação.
Normalmente, os desenvolvedores usam RunAsManager para configurar uma ou mais funções adicionais para um usuário autenticado durante a chamada de um método. Isso é útil para um bean seguro que precisa acessar um aplicativo remoto. Como o aplicativo remoto pode exigir credenciais diferentes, isso permite a tradução entre as funções de chamada e aquelas que o aplicativo remoto precisa para que o acesso remoto seja bem-sucedido. O novo objeto de autenticação (chamado RunAsUserToken) será simplesmente aceito como um objeto de autenticação válido sem qualquer autenticação ou verificação de autorização adicional.
Adicionar novas funções ou privilégios ao novo objeto de autenticação tem a possibilidade de elevar temporariamente os privilégios do usuário, permitindo que ele execute uma ação não autorizada.
A configuração a seguir mostra o uso de RunAsManager para adicionar a função "UBER_BOSS" a um usuário que tem a função "ROLE_PEON", elevando temporariamente esse usuário para ter privilégios de gerente, o que permite que todos os peões obtenham dados do PrivateCatalog.

<bean id="bankManagerSecurity" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
...
 <property name="objectDefinitionSource">
   <value>
     com.example.service.PrivateCatalog.getData=ROLE_PEON,RUN_AS_UBER_BOSS
...
   </value>
 </property>
</bean>

Embora seja uma boa ideia definir permissões separadas de leitura e gravação para provedores de conteúdo, definir apenas a writePermission pode ser enganoso. Devido à natureza do SQL, gerar somente consultas verdadeiras de gravação é geralmente impossível: mesmo quando o usuário não tem acesso direto aos dados, um invasor pode reconstruir os dados armazenados manipulando a cláusula where.

Exemplo 1: Veja a seguir um exemplo de um provedor de conteúdo declarado somente com a writePermission.

 <provider android:name=".ContentProvider" android:writePermission="content.permission.WRITE_CONTENT"/> 

O receptor registrado sem a permissão do transmissor receberá mensagens de qualquer transmissor. Se essas mensagens contiverem dados mal-intencionados ou provenientes de um transmissor mal-intencionado, o aplicativo poderá ficar comprometido.

Exemplo 1: O código a seguir registra um receptor sem especificar a permissão do transmissor.

...
context.registerReceiver(broadcastReceiver, intentFilter);
...

Qualquer aplicativo pode acessar componentes públicos que não tenham uma permissão de acesso explicitamente atribuída em sua definição de manifesto.

O valor padrão do atributo exported para os componentes de atividade, receptor e serviço em um aplicativo Android depende da presença ou ausência de um intent-filter. A presença de um intent-filter implica que o componente destina-se para uso externo, definindo assim o atributo exported como "true". Esse componente agora está acessível para qualquer outro aplicativo na plataforma Android.

Exemplo 1: Veja a seguir um exemplo de uma atividade do Android com um intent-filter e sem nenhuma permissão de acesso explícito definida.

 <activity android:name=".AndroidActivity"/> 

   <intent-filter android:label="activityName"/> 

    <action android:name=".someFunAction"/> 

   </intent-filter> 

    ... 

 </activity> 

Esta atividade pode ser explorada por aplicativos mal-intencionados.

Qualquer aplicativo pode acessar componentes públicos que não tenham uma permissão de acesso explicitamente atribuída em sua definição de manifesto. Os provedores de conteúdo Android são exportados por padrão para aplicativos que definem android:minSdkVersion ou android:targetSdkVersion como "16" ou anterior. Para aplicativos que definem qualquer um desses atributos como "17" ou posterior, o padrão é "false".

Exemplo 1: Veja a seguir um exemplo de um provedor de conteúdo Android declarado sem uma permissão de acesso explícita ou um sinalizador exportado.

 <provider android:name=".ContentProvider"/> 

O Android depende de um provedor de segurança para fornecer comunicações de rede seguras. No entanto, de vez em quando, vulnerabilidades são encontradas no provedor de segurança padrão. Para se proteger contra essas vulnerabilidades, o Google Play Services oferece uma maneira de atualizar automaticamente o provedor de segurança de um dispositivo para proteção contra explorações conhecidas. Ao chamar os métodos do Google Play Services, seu aplicativo pode garantir que está sendo executado em um dispositivo que possui as atualizações mais recentes para proteção contra explorações conhecidas.

O recurso de configuração de segurança de rede permite que os aplicativos personalizem suas configurações de segurança de rede em um arquivo de configuração declarativo e seguro sem modificar o código do aplicativo. Essas configurações podem ser definidas para domínios específicos e para um aplicativo específico. Os principais recursos desse recurso são os seguintes:
- Âncoras de confiança personalizadas: Personalize quais Autoridades de Certificação (CA) são confiáveis para as conexões seguras de um aplicativo. Por exemplo, confiar em certificados autoassinados específicos ou restringir o conjunto de CAs públicas nas quais o aplicativo confia.
- Substituições apenas de depuração: Depure com segurança conexões seguras em um aplicativo sem risco adicional para a base instalada.
- Desativação do tráfego de texto simples: Proteja os aplicativos do uso acidental de tráfego de texto não criptografado.
- Fixação de certificado: Restrinja a conexão segura de um aplicativo a certificados específicos.

Transmissões enviadas sem a permissão do receptor ficam acessíveis a qualquer receptor. Se essas transmissões contiverem dados confidenciais ou acessarem um receptor mal-intencionado, o aplicativo poderá ficar comprometido.

Exemplo 1: O código a seguir envia uma transmissão sem especificar a permissão do receptor.

...
context.sendBroadcast(intent);
...

As transmissões do sistema podem ser enviadas para componentes privados. Os componentes precisam ser públicos para receber transmissões que não são do sistema de terceiros. Ao se registrar para receber tanto transmissões do sistema quanto transmissões que não são do sistema em um único componente, parte da funcionalidade do componente (a parte do sistema) é desnecessariamente exposta a terceiros.

Ao declarar uma permissão personalizada, existem quatro opções para especificar o nível de proteção da permissão: normal, dangerous, signature e signature or system. Normal as permissões são concedidas a qualquer aplicativo que as solicite. Dangerous as permissões são concedidas somente após a confirmação do usuário. Signature as permissões são concedidas apenas a aplicativos assinados pela mesma chave de desenvolvedor do pacote que define a permissão. Signature or system permissões são semelhantes às permissões signature, mas também são concedidas a pacotes na imagem do sistema Android.

Exemplo 1: Veja a seguir um exemplo de uma permissão personalizada declarada com o nível de proteção normal.

 <permission android:name="custom.PERMISSION"
                     android:label="@string/label_permission"
                     android:description="@string/desc_permission"
                     android:protectionLevel="normal">
      </permission>

Um provedor de conteúdo declarado com a permission combinada de leitura e gravação estará acessível para as entidades que solicitam acesso de leitura ou gravação ao provedor. No entanto, em muitos casos, assim como no caso de arquivos em um sistema de arquivos, as entidades que precisam de acesso de leitura aos dados armazenados pelo provedor não devem ter permissão para modificar os dados. Configurar o atributo permission não permite distinguir entre usuários de dados e interações que afetam a integridade dos dados.

Exemplo 1: Veja a seguir um exemplo de um provedor de conteúdo declarado com o atributo permission de acesso combinado de leitura e gravação.

 <provider android:name=".ContentProvider" android:permission="content.permission.READ_AND_WRITE_CONTENT"/> 

Transmissões persistentes não podem ser protegidas com uma permissão e, portanto, são acessíveis a qualquer receptor. Se essas transmissões contiverem dados confidenciais ou acessarem um receptor mal-intencionado, o aplicativo poderá ficar comprometido.

Exemplo 1: O código a seguir envia uma transmissão persistente.

...
context.sendStickyBroadcast(intent);
...

Definir novas permissões no namespace android.permission pode ter consequências inesperadas quando o sistema operacional é atualizado. Se a versão mais recente do sistema operacional definir exatamente a mesma permissão, o Android Package Management Service (PMS) concederá silenciosamente a permissão ao aplicativo, sem pedir ao usuário que permita ataques de escalonamento de privilégios.

Como este componente espera receber apenas mensagens de transmissão do sistema e não de outros componentes, ele deve ser privado (inacessível para outros componentes)

Identificadores específicos de hardware e dispositivos são mantidos persistentes entre limpezas de dados e redefinições de fábrica. Não se deve confiar nesses identificadores para gerar identificadores exclusivos usados para autorizar ou autenticar usuários.

Além disso, o vazamento de identificadores universalmente exclusivos, que podem ser associados a informações pessoais, representa uma ameaça à segurança e à privacidade do usuário.

Certas estruturas, como o AngularJS, limitam os protocolos que podem ser definidos para links que levam a outros sites e imagens. Isso tem o objetivo principal de impedir a execução do JavaScript embutido, o que pode resultar em vulnerabilidades de execução de scripts entre sites dentro do aplicativo.

Exemplo 1: O código a seguir altera a lista de permissões com o padrão de protocolos no AngularJS, de forma a também permitir elementos HTML de imagem para liberar um JavaScript embutido.

myModule.config(function($compileProvider){
    $compileProvider.imgSrcSanitizationWhitelist(/^(http(s)?|javascript):.*/);
});

O Strict Contextual Escaping (SCE) é um mecanismo em aplicativos AngularJS que ajuda a proteger o aplicativo contra invasores. Isso pode impedir muitos vetores de ataque em diferentes tipos de vulnerabilidades. A proteção mais proeminente é contra certos tipos de ataques de cross-site scripting. Neste aplicativo, este mecanismo de proteção está especificamente desabilitado.

Exemplo 1: Nesse exemplo, desabilitamos o SCE em um módulo.

myModule.config(function($sceProvider){
  $sceProvider.enabled(false);
});

O aplicativo usa código que ativa a extensão WebSocket permessage-deflate, que permite a compactação em conexões criptografadas. Habilitar esse tipo de compactação torna o aplicativo sujeito a ataques do tipo CRIME e BREACH.

Exemplo 1: O seguinte código define DangerousEnableCompression como true para ativar a extensão “per-message-deflate”:

    app.Run(async context => {
        using var websocket = await context.WebSockets.AcceptWebSocketAsync(new WebSocketAcceptContext() { DangerousEnableCompression = true });
        await websocket.SendAsync(...);
        await websocket.ReceiveAsync(...);
        await websocket.CloseAsync(WebSocketCloseStatus.NormalClosure, null, default);
    });
    

Exemplo 2: O código a seguir usa DangerousDeflateOptions para definir as opções para a extensão “per-message-deflate”:

    using ClientWebSocket ws = new() {
        Options = {
            CollectHttpResponseDetails = true,
            DangerousDeflateOptions = new WebSocketDeflateOptions() {
                ClientMaxWindowBits = 10,
                ServerMaxWindowBits = 10
            }
        }
    };
    

Aplicativos Microsoft ASP.NET podem representar o contexto de segurança do usuário atual ou o processo que os invocou a fim de executar operações privilegiadas. Embora contextos de representação sirvam a várias finalidades úteis, como reduzir o número total de tentativas de autenticação que devem ser feitas, um programa que mantém privilégios elevados desnecessariamente representa um risco para a segurança geral do sistema. Se um invasor explorar outra vulnerabilidade no programa enquanto este estiver sendo executado em outro contexto de segurança, qualquer operação não autorizada que esse invasor realizar será executada com os privilégios correspondentes.

Exemplo 1: O exemplo de código a seguir representa um padrão de uso típico de representação de credenciais usando o método WindowsIdentity.Impersonate().

using System.Security.Principal;
...

//Get the identity of the current user
IIdentity contextId = HttpContext.Current.User.Identity;
WindowsIdentity userId = (WindowsIdentity)contextId;

//Temporarily impersonate
WindowsImpersonationContext imp = userId.Impersonate();

//Perform tasks using the caller's security context
DoSecuritySensitiveTasks();

//Clean up and restore our old security context
impersonate.Undo();

O código no Example 1 personifica o contexto de segurança do usuário atual e o utiliza para realizar uma operação privilegiada. Depois de chamar DoSecuritySensitiveTasks(), o código tenta restaurar o contexto de segurança original. No entanto, se DoSecuritySensitiveTasks() lançar uma exceção, o método Undo() nunca será chamado, e o programa continuará a usar o contexto de segurança representado.