1464 itens encontrados

Vulnerabilidades

Unreleased Resource: Unmanaged Object

C#/VB.NET/ASP.NET

Abstract

O programa não consegue descartar um objeto gerenciado que utiliza recursos de sistema não gerenciados.

Explanation

O programa não consegue descartar corretamente um objeto gerenciado que utiliza recursos de sistema não gerenciados.
A incapacidade de descartar corretamente um objeto gerenciado que utiliza recursos de sistema não gerenciados tem pelo menos duas causas comuns:

- Condições de erro e outras circunstâncias excepcionais.
- Confusão acerca de qual parte do programa é responsável pela liberação do recurso.

Um pequeno subconjunto de objetos .NET gerenciados usa recursos de sistema não gerenciados. O Coletor de Lixo do .NET pode não liberar os objetos gerenciados originais de maneira previsível. Dessa forma, o aplicativo pode esgotar a memória disponível, já que o Coletor de Lixo não está ciente da memória consumida pelos recursos não gerenciados. A maioria dos problemas de vazamento de recursos não gerenciados resulta em problemas gerais de confiabilidade de software. Porém, se um invasor puder provocar intencionalmente um vazamento de recursos não gerenciados, talvez ele consiga lançar um ataque de negação de serviço esgotando o pool de recursos.

Exemplo 1: O método a seguir cria um Objeto de Bitmap gerenciado a partir de um fluxo de entrada incomingStream. O Bitmap é manipulado e mantido como persistente no fluxo de saída outgoingStream. O método Dispose() de incomingBitmap e outgoingBitmap nunca é chamado explicitamente.

Normalmente, é possível contar com o Coletor de Lixo para fazer isso em uma ocasião segura para objetos gerenciados que não utilizam recursos de sistema não gerenciados. O Coletor de Lixo chama Bitmap.Dispose() quando ele considera apropriado. No entanto, o objeto Bitmap utiliza recursos de sistema não gerenciados escassos. O Coletor de Lixo talvez não consiga chamar Dispose() antes que o pool de recursos não gerenciados se esgote.


private void processBitmap(Stream incomingStream, Stream outgoingStream, int thumbnailSize)
{
	Bitmap incomingBitmap = (Bitmap)System.Drawing.Image.FromStream(incomingStream);

	bool validBitmap = validateBitmap(incomingBitmap);
	if (!validBitmap)
		throw new ValidationException(incomingBitmap);

	Bitmap outgoingBitmap = new Bitmap(incomingBitmap, new Size(thumbnailSize, thumbnailSize));
	outgoingBitmap.Save(outgoingStream, ImageFormat.Bmp);
}

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 772

[2] Standards Mapping - Common Weakness Enumeration Top 25 2019 [21] CWE ID 772

[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094

[4] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)

[5] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection

[6] Standards Mapping - OWASP Top 10 2004 A9 Application Denial of Service

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.9

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[14] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[15] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[16] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective C.3.3 - Web Software Attack Mitigation

[17] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 404

[18] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP6080 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP6080 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP6080 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP6080 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP6080 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP6080 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP6080 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002400 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002400 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002400 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002400 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002400 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002400 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002400 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002400 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002400 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002400 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002400 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002400 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-002400 CAT II

[41] Standards Mapping - Web Application Security Consortium Version 2.00 Denial of Service (WASC-10)

[42] Standards Mapping - Web Application Security Consortium 24 + 2 Denial of Service

desc.controlflow.dotnet.unreleased_resource_unmanaged_object

Unsafe JNI

Java/JSP

Abstract

O uso indevido da JNI (Java Native Interface) pode tornar aplicativos Java vulneráveis a falhas de segurança em outras linguagens.

Explanation

Erros de JNI não segura ocorrem quando um aplicativo Java usa a JNI para chamar um código escrito em outra linguagem de programação.
Exemplo 1: O seguinte código Java define uma classe denominada Echo. A classe declara um método nativo que usa C para ecoar comandos inseridos no console de volta para o usuário.


    class Echo {
	public native void runEcho();

	static {
		System.loadLibrary("echo");
		}

	public static void main(String[] args) {
		new Echo().runEcho();
		}
}

O código C a seguir define o método nativo implementado na classe Echo:


#include <jni.h>
#include "Echo.h" //a classe java do Example 1 compilada com javah
#include <stdio.h>

JNIEXPORT void JNICALL
Java_Echo_runEcho(JNIEnv *env, jobject obj)
{
	char buf[64];
	gets(buf);
	printf(buf);
}

Como o exemplo é implementado em Java, pode parecer que ele é imune a problemas de memória, como vulnerabilidades de buffer overflow. Embora o Java faça um bom trabalho de garantir a segurança de operações de memória, essa proteção não se estende a vulnerabilidades que ocorrem no código-fonte escrito em outras linguagens que são acessadas usando a Java Native Interface. Apesar das proteções de memória oferecidas em Java, o código C nesse exemplo é vulnerável a um buffer overflow por utilizar gets(), que não realiza nenhuma verificação de limites em sua entrada.

O Sun Java(TM) Tutorial fornece a seguinte descrição da JNI [1]:

A estrutura JNI permite que seu método nativo use objetos Java da mesma forma que o código Java usa esses objetos. Um método nativo pode criar objetos Java, incluindo arrays e strings, e depois inspecionar e usar esses objetos para realizar suas tarefas. Um método nativo também pode inspecionar e usar objetos criados pelo código do aplicativo Java. Um método nativo pode até mesmo atualizar objetos Java que ele criou ou que foram transmitidos para ele, e esses objetos atualizados estão disponíveis para o aplicativo Java. Portanto, tanto o lado da linguagem nativa quanto o lado do Java de um aplicativo podem criar, atualizar e acessar objetos Java e depois compartilhar esses objetos entre eles.

A vulnerabilidade no Example 1 pode ser facilmente detectada por meio de uma auditoria de código-fonte da implementação do método nativo. Isso pode não ser prático ou possível, dependendo da disponibilidade do código-fonte C e de como o projeto está estruturado, mas, em muitos casos, pode ser suficiente. No entanto, a capacidade de compartilhar objetos entre métodos Java e nativos expande o possível risco de casos muito mais traiçoeiros nos quais a manipulação imprópria de dados pode fazer com que vulnerabilidades inesperadas ou operações não seguras no código nativo corrompam estruturas de dados em Java.

Vulnerabilidades no código nativo acessado por meio de um aplicativo Java são geralmente exploradas da mesma maneira do que em aplicativos escritos na linguagem nativa. O único desafio a um ataque desse tipo é que o atacante deve identificar que o aplicativo Java usa um código nativo para realizar determinadas operações. Isso pode ser feito de uma variedade de maneiras, entre elas identificando comportamentos específicos que muitas vezes são implementados com código nativo ou explorando um vazamento de informações do sistema no aplicativo Java que expõe seu uso de JNI [2].

References

[1] B. Stearns The Java Tutorial: The Java Native Interface

[2] JNI00-J. Define wrappers around native methods CERT

[3] INPUT-3: Define wrappers around native methods Oracle

[4] Standards Mapping - Common Weakness Enumeration CWE ID 111

[5] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020

[6] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[7] Standards Mapping - FIPS200 SI

[8] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[9] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[10] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[11] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[12] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[13] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4

[14] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[20] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[21] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[23] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[24] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[25] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[26] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I

[27] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I

[28] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I

[29] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I

[30] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I

[31] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I

[32] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I

[33] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I

[34] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I

[35] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I

[36] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I

[37] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I

[38] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I

[46] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[47] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[48] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[49] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.semantic.java.unsafe_jni

Unsafe JSNI

Java/JSP

Abstract

O uso indevido da JSNI (JavaScript Native Interface) pode tornar aplicativos GWT vulneráveis a falhas de segurança em JaveScript.

Explanation

Os erros JSNI inseguros ocorrem quando um aplicativo GWT usa JSNI para chamar o código javascript.
Exemplo 1: O seguinte código Java define uma classe denominada Redirect. A classe declara um método JavaScript nativo, que usa JavaScript para alterar o local do documento.


import com.google.gwt.user.client.ui.UIObject;

class MyDiv {

    ...

    public static void changeName(final UIObject object, final String name) {
        changeName(object.getElement(), url);
    }

    public static native void changeName(final Element e, final String name) /*-{
        $wnd.jQuery(e).html(name);
    }-*/;

    ...
}

Neste exemplo, passar dados não confiáveis para a função JSNI pode resultar em um DOM baseado em Cross-Site Scripting.

References

[1] JSNI Google

[2] Standards Mapping - Common Weakness Enumeration CWE ID 111

[3] Standards Mapping - Common Weakness Enumeration Top 25 2024 [12] CWE ID 020

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[5] Standards Mapping - FIPS200 SI

[6] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[7] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[8] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[9] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[10] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[11] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.6

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.6

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.6

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.6

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[19] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[20] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[21] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[22] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[23] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I

[24] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I

[25] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I

[26] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I

[27] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I

[28] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I

[29] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I

[30] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I

[31] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I

[32] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I

[33] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I

[34] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I

[35] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I

[36] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I

[37] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I

[38] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[46] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.semantic.java.unsafe_jsni

Unsafe Mobile Code: Access Violation

Java/JSP

Abstract

O programa viola os princípios de codificação segura para código móvel, retornando uma variável de array private a partir de um método de acesso public.

Explanation

Retornar uma variável de array private de um método de acesso public permite que o código de chamada modifique o conteúdo do array, fornecendo a ele acesso public e contrariando as intenções do programador que o tornou private.

Exemplo 1: O seguinte código de Applet Java retorna por engano uma variável de array private de um método de acesso public.


public final class urlTool extends Applet {
private URL[] urls;
public URL[] getURLs() {
	return urls;
}
	...
}

O código móvel, nesse caso um Applet Java, é o código que é transmitido através de uma rede e executado em uma máquina remota. Como os desenvolvedores de códigos móveis têm pouco ou nenhum controle sobre o ambiente em que seus códigos serão executados, preocupações especiais de segurança tornam-se relevantes. Uma das maiores ameaças ambientais resulta do risco de o código móvel ser executado correr lado a lado com outro código móvel potencialmente mal-intencionado. Como todos os navegadores da Web populares executam código de várias fontes juntos na mesma JVM, muitas das diretrizes de segurança do código móvel estão concentradas em impedir a manipulação do estado e do comportamento dos seus objetos por adversários que têm acesso à mesma máquina virtual na qual o programa está sendo executado.

References

[1] G. McGraw Securing Java. Chapter 7: Java Security Guidelines

[2] Standards Mapping - Common Weakness Enumeration CWE ID 495

[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165

[4] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation

[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-3 Access Enforcement (P1)

[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-3 Access Enforcement

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[12] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[13] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control

[14] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control

[15] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls

[16] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[32] Standards Mapping - Web Application Security Consortium Version 2.00 Insufficient Authorization (WASC-02)

desc.structural.java.unsafe_mobile_code_access_violation

Unsafe Mobile Code: Database Access

Java/JSP

Abstract

Applets que realizam operações de banco de dados JDBC em um ambiente não confiável podem comprometer as credenciais do banco de dados.

Explanation

Por padrão, Applets Java podem abrir conexões de banco de dados de volta para o servidor do qual eles são baixados. Isso é aceitável em ambientes confiáveis, mas, em ambientes não confiáveis, os invasores podem usar o Applet para descobrir as credenciais do banco de dados e acabam obtendo acesso direto ao banco de dados.
Exemplo 1: O código a seguir mostra uma senha de banco de dados inserida em código fixo sendo usada em um applet.


public class CustomerServiceApplet extends JApplet
{
    public void paint(Graphics g)
    {
        ...
        conn = DriverManager.getConnection ("jdbc:mysql://db.example.com/customerDB", "csr", "p4ssw0rd");
        ...

Os usuários de um Applet com credenciais JDBC inseridas em código fixo podem descobrir facilmente essas credenciais, pois o código do Applet é baixado no cliente. Além disso, se a conexão com o banco de dados for feita através de um canal não criptografado, qualquer pessoa capaz de farejar o tráfego na rede também poderá obter as credenciais. Por fim, permitir que os usuários se conectem diretamente a um banco de dados revela a presença de um servidor de banco de dados publicamente acessível, o que permite aos invasores definir o banco de dados como destino para ataques de rede diretos.

References

[1] Standards Mapping - Common Weakness Enumeration CWE ID 305

[2] Standards Mapping - Common Weakness Enumeration Top 25 2019 [13] CWE ID 287

[3] Standards Mapping - Common Weakness Enumeration Top 25 2020 [14] CWE ID 287

[4] Standards Mapping - Common Weakness Enumeration Top 25 2021 [14] CWE ID 287

[5] Standards Mapping - Common Weakness Enumeration Top 25 2022 [14] CWE ID 287

[6] Standards Mapping - Common Weakness Enumeration Top 25 2023 [13] CWE ID 287

[7] Standards Mapping - Common Weakness Enumeration Top 25 2024 [14] CWE ID 287

[8] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165

[9] Standards Mapping - General Data Protection Regulation (GDPR) Access Violation

[10] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-3 Access Enforcement (P1)

[11] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-3 Access Enforcement

[12] Standards Mapping - OWASP Application Security Verification Standard 4.0 2.7.1 Out of Band Verifier Requirements (L1 L2 L3), 2.7.2 Out of Band Verifier Requirements (L1 L2 L3), 2.7.3 Out of Band Verifier Requirements (L1 L2 L3), 2.8.4 Single or Multi Factor One Time Verifier Requirements (L2 L3), 2.8.5 Single or Multi Factor One Time Verifier Requirements (L2 L3), 3.7.1 Defenses Against Session Management Exploits (L1 L2 L3), 9.2.3 Server Communications Security Requirements (L2 L3)

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[19] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control

[20] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control

[21] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls

[22] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[31] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[32] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[33] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[38] Standards Mapping - Web Application Security Consortium Version 2.00 Insufficient Authorization (WASC-02)

desc.structural.java.unsafe_mobile_code_database_access

Unsafe Mobile Code: Inner Class

Java/JSP

Abstract

O programa viola os princípios de codificação segura para o código móvel utilizando uma classe interna.

Explanation

Classes internas introduzem silenciosamente várias preocupações de segurança devido à forma como são convertidas em códigos de bytes Java. No código-fonte Java, parece que uma classe interna pode ser declarada para ser acessível somente pela classe delimitadora, mas o código de bytes Java não tem nenhum conceito de uma classe interna e, portanto, o compilador deve transformar uma declaração de classe interna em uma classe de mesmo nível com acesso em nível de package à classe externa original. Mais insidiosamente, como uma classe interna pode acessar os campos private na respectiva classe delimitadora, assim que uma classe interna se tornar uma classe de mesmo nível no código de bytes, o compilador converterá os campos private acessados pela classe interna em campos protected.

Exemplo 1: O seguinte código de Applet Java utiliza uma classe interna por engano.


public final class urlTool extends Applet {
private final class urlHelper {
	...
}
	...
}

References

[1] G. McGraw Securing Java. Chapter 7: Java Security Guidelines

[2] Standards Mapping - Common Weakness Enumeration CWE ID 492

[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165

[4] Standards Mapping - NIST Special Publication 800-53 Revision 4 AC-3 Access Enforcement (P1)

[5] Standards Mapping - NIST Special Publication 800-53 Revision 5 AC-3 Access Enforcement

[6] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[7] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[11] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[12] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 5.4 - Authentication and Access Control

[13] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 5.4 - Authentication and Access Control

[14] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 5.4 - Authentication and Access Control, Control Objective C.2.3 - Web Software Access Controls

[15] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[16] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[17] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[18] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[19] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[20] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[21] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[22] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[23] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[24] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[25] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[26] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[27] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[28] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[29] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[30] Standards Mapping - Security Technical Implementation Guide Version 6.2 APSC-DV-000460 CAT I, APSC-DV-000470 CAT II

[31] Standards Mapping - Web Application Security Consortium Version 2.00 Insufficient Authorization (WASC-02)

desc.structural.java.unsafe_mobile_code_inner_class

Unsafe Mobile Code: Public finalize() Method

Java/JSP

Abstract

O programa viola os princípios de codificação segura para o código móvel, declarando o método finalize() como public.

Explanation

Um programa nunca deve chamar finalize explicitamente, exceto para chamar super.finalize() dentro de uma implementação de finalize(). Em situações de código móvel, a outra prática propensa a erros de coleta de lixo manual pode se tornar uma ameaça à segurança quando um invasor é capaz de invocar maliciosamente um dos seus métodos finalize() porque ele é declarado com acesso public. Se você estiver usando finalize() conforme ele foi concebido, não haverá motivo para declarar finalize() com algo diferente de um acesso protected.

Exemplo 1: O seguinte código de Applet Java declara um método erroneamente como public finalize().


public final class urlTool extends Applet {
public void finalize() {
	...
}
	...
}

References

[1] G. McGraw Securing Java. Chapter 7: Java Security Guidelines

[2] MET12-J. Do not use finalizers CERT

[3] Standards Mapping - Common Weakness Enumeration CWE ID 583

[4] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-000213, CCI-002165