输入验证与表示问题是由元字符、交替编码和数字表示引起的。安全问题源于信任输入。这些问题包括:“Buffer Overflows”、“Cross-Site Scripting”攻击、“SQL Injection”等其他问题。
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e|ee)+
NSString *regex = @"^(e+)+$";
NSPredicate *pred = [NSPRedicate predicateWithFormat:@"SELF MATCHES %@", regex];
if ([pred evaluateWithObject:mystring]) {
//do something
}
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e+)+
([a-zA-Z]+)*
(e|ee)+
(e+)+
([a-zA-Z]+)*
(e|ee)+
let regex : String = "^(e+)+$"
let pred : NSPredicate = NSPRedicate(format:"SELF MATCHES \(regex)")
if (pred.evaluateWithObject(mystring)) {
//do something
}
Example 1
中,如果攻击者提供了匹配字符串“eeeeZ”,则正则表达式解析器必须经过 16 次内部求值才能识别出匹配项。如果攻击者使用 16 个“e”(“eeeeeeeeeeeeeeeeZ”)作为匹配字符串,则正则表达式解析器必须进行 65536 (2^16) 次计算。通过增加连续的匹配字符数,攻击者可以轻易地消耗计算资源。已知的正则表达式实现方式均无法避免这种漏洞。所有平台和语言都容易受到这种攻击。routes.Ignore
方法集成通配符路由模式而产生的。该方法允许外部输入来定义路由行为。具体来说,使用通配符(例如 {*allaspx}
)为攻击者提供了操纵路由操作的机会。当控制这些通配符模式的输入没有经过仔细验证或清理时,就会出现核心问题。
Marker child = MarkerManager.getMarker("child");
Marker parent = MarkerManager.getMarker("parent");
child.addParents(MarkerManager.getMarker(userInput));
parent.addParents(MarkerManager.getMarker(userInput2));
String toInfinity = child.toString();
child
和 parent
的父标记设置为用户定义的标记。如果用户将 child
的父标记设置为 parent
,将 parent
的父标记设置为 child
,则会在标记数据结构中创建一个循环链接。在包含循环链接的数据结构上运行递归 toString
方法时,程序会抛出堆栈溢出异常并崩溃。这会因堆栈耗尽而导致 Denial of Service 攻击。StringBuilder
或 StringBuffer
实例会导致 JVM 过度使用堆内存空间。StringBuilder
或 StringBuffer
实例,会导致应用程序在调整基础数组的大小以适应用户数据时占用大量堆内存。将数据附加到 StringBuilder
或 StringBuffer
实例上时,实例将确定支持字符数组是否有足够的可用空间来存储数据。如果数据不合适,StringBuilder
或 StringBuffer
实例将会创建新的数组,其容量至少为以前数组大小的两倍,而旧数组在进行回收之前,将继续留在堆中。攻击者可以利用此实现详细信息执行 Denial of Service (DoS) 攻击。StringBuilder
实例。
...
StringBuilder sb = new StringBuilder();
final String lineSeparator = System.lineSeparator();
String[] labels = request.getParameterValues("label");
for (String label : labels) {
sb.append(label).append(lineSeparator);
}
...
StringBuilder
或 StringBuffer
实例会导致 JVM 过度使用堆内存空间。StringBuilder
或 StringBuffer
实例,会导致应用程序在调整基础数组的大小以适应用户数据时占用大量堆内存。将数据附加到 StringBuilder
或 StringBuffer
实例上时,实例将确定支持字符数组是否有足够的可用空间来存储数据。如果数据不合适,StringBuilder
或 StringBuffer
实例将会创建新的数组,其容量至少为以前数组大小的两倍,而旧数组在进行回收之前,将继续留在堆中。攻击者可以利用此实现详细信息执行 Denial of Service (DoS) 攻击。StringBuilder
实例。
...
val sb = StringBuilder()
val labels = request.getParameterValues("label")
for (label in labels) {
sb.appendln(label)
}
...
...
user_ops = request->get_form_field( 'operation' ).
CONCATENATE: 'PROGRAM zsample.| FORM calculation. |' INTO code_string,
calculator_code_begin user_ops calculator_code_end INTO code_string,
'ENDFORM.|' INTO code_string.
SPLIT code_string AT '|' INTO TABLE code_table.
GENERATE SUBROUTINE POOL code_table NAME calc_prog.
PERFORM calculation IN PROGRAM calc_prog.
...
operation
参数的值为良性值时,程序可以正常运行。但是,如果攻击者指定的语言操作有效,而且为恶意操作时,只有在对主进程具有完全权限的情况下才能执行这些操作。当注入的代码可以访问系统资源或执行系统命令时,这类攻击的危险性进一步加大。例如,如果攻击者打算将“MOVE 'shutdown -h now' to cmd.CALL 'SYSTEM' ID 'COMMAND' FIELD cmd ID 'TAB' FIELD TABL[].”指定为 operation
的值,主机系统就会执行关机命令。
...
var params:Object = LoaderInfo(this.root.loaderInfo).parameters;
var userOps:String = String(params["operation"]);
result = ExternalInterface.call("eval", userOps);
...
operation
参数的值为良性值,程序就可以正常运行。例如,当该值为 "8 + 7 * 2" 时,result
变量被赋予的值将为 22。然而,如果攻击者指定的语言操作既有可能是有效的,又有可能是恶意的,那么,只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令,这种攻击甚至会更加危险。对于 ActionScript,攻击者可以利用这种漏洞进行跨站点脚本攻击。
...
public static object CEval(string sCSCode)
{
CodeDomProvider icc = CodeDomProvider.CreateProvider("CSharp");
CompilerParameters cparam = new CompilerParameters();
cparam.ReferencedAssemblies.Add("system.dll");
cparam.CompilerOptions = "/t:library";
cparam.GenerateInMemory = true;
StringBuilder sb_code = new StringBuilder("");
sb_code.Append("using System;\n");
sb_code.Append("namespace Fortify_CodeEval{ \n");
sb_code.Append("public class FortifyCodeEval{ \n");
sb_code.Append("public object EvalCode(){\n");
sb_code.Append(sCSCode + "\n");
sb_code.Append("} \n");
sb_code.Append("} \n");
sb_code.Append("}\n");
CompilerResults cr = icc.CompileAssemblyFromSource(cparam, sb_code.ToString());
if (cr.Errors.Count > 0)
{
logger.WriteLine("ERROR: " + cr.Errors[0].ErrorText);
return null;
}
System.Reflection.Assembly a = cr.CompiledAssembly;
object o = a.CreateInstance("Fortify_CodeEval.FortifyCodeEval");
Type t = o.GetType();
MethodInfo mi = t.GetMethod("EvalCode");
object s = mi.Invoke(o, null);
return s;
}
...
sCSCode
参数的值为良性值,程序就可以正常运行。例如,当该值为“return 8 + 7 * 2”时,函数 CEval
的返回值为 22。但是,如果攻击者指定的语言操作有效,而且为恶意操作时,只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令,这种攻击甚至会更加危险。例如,.Net 允许调用 Windows API;如果攻击者计划将“return System.Diagnostics.Process.Start(\"shutdown\", \"/s /t 0\");”指定为 operation
的值,主机系统就会执行关机命令。
...
ScriptEngineManager scriptEngineManager = new ScriptEngineManager();
ScriptEngine scriptEngine = scriptEngineManager.getEngineByExtension("js");
userOps = request.getParameter("operation");
Object result = scriptEngine.eval(userOps);
...
operation
参数的值为良性值,程序就可以正常运行。例如,当该值为 "8 + 7 * 2" 时,result
变量被赋予的值将为 22。然而,如果攻击者指定的语言操作既有可能是有效的,又有可能是恶意的,那么,只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令,这种攻击甚至会更加危险。例如,JavaScript 允许调用 Java 对象;如果攻击者计划将 " java.lang.Runtime.getRuntime().exec("shutdown -h now")" 指定为 operation
的值,则主机系统就会执行关机命令。
...
userOp = form.operation.value;
calcResult = eval(userOp);
...
operation
参数的值为良性值,程序就可以正常运行。例如,当该值为 "8 + 7 * 2" 时,calcResult
变量被赋予的值将为 22。然而,如果攻击者指定的语言操作既有可能是有效的,又有可能是恶意的,那么,只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令,这种攻击甚至会更加危险。对于 JavaScript,攻击者还可以利用这种漏洞进行 cross-site scripting 攻击。
...
@property (strong, nonatomic) WKWebView *webView;
@property (strong, nonatomic) UITextField *inputTextField;
...
[_webView evaluateJavaScript:[NSString stringWithFormat:@"document.body.style.backgroundColor="%@";", _inputTextField.text] completionHandler:nil];
...
webView
中的 <body>
元素会设置为蓝色背景样式。然而,如果攻击者提供仍然有效的恶意输入,则也许能够执行任意 JavaScript 代码。例如,因为 JavaScript 可以访问特定类型的私人信息(如 cookies),所以如果攻击者指定 “white";document.body.innerHTML=document.cookie;”作为 UITextField 的输入,cookie 信息将会以可视方式写入页面中。当底层语言提供了对系统资源的访问或允许执行系统命令时,此类攻击甚至更危险,因为在这些情况下,将在对主进程具有完全权限的情况下执行注入的代码。
...
$userOps = $_GET['operation'];
$result = eval($userOps);
...
operation
参数的值为良性值,程序就可以正常运行。例如,当该值为“8 + 7 * 2”时,result
变量被赋予的值将为 22。然而,如果攻击者指定的语言操作是有效的,又是恶意的,那么,将在对主进程具有完全权限的情况下执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令,这种攻击甚至会更加危险。例如,如果攻击者计划将“exec('shutdown -h now')”指定为 operation
的值,主机系统就会执行关机命令。
...
userOps = request.GET['operation']
result = eval(userOps)
...
operation
参数的值为良性值,程序就可以正常运行。例如,当该值为“8 + 7 * 2”时,result
变量被赋予的值将为 22。然而,如果攻击者指定的语言操作是有效的,又是恶意的,那么,将在对主进程具有完全权限的情况下执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令,这种攻击甚至会更加危险。例如,如果攻击者计划将“os.system('shutdown -h now')”指定为 operation
的值,主机系统就会执行关机命令。
...
user_ops = req['operation']
result = eval(user_ops)
...
operation
参数的值为良性值,程序就可以正常运行。例如,当该值为 "8 + 7 * 2" 时,result
变量被赋予的值将为 22。然而,如果攻击者指定的语言操作既有可能是有效的,又有可能是恶意的,那么,只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令,这种攻击甚至会更加危险。借助 Ruby,这可以实现,因为通过使用分号 (;
) 分隔这些行,可以运行多个命令,此外,使用一个简单的注入,也可以运行多个命令,同时还没有破坏程序。 operation
"system(\"nc -l 4444 &\");8+7*2",那么这将打开端口 4444 以侦听计算机上的连接,然后仍然将值 22 返回到 result
...
var webView : WKWebView
var inputTextField : UITextField
...
webView.evaluateJavaScript("document.body.style.backgroundColor="\(inputTextField.text)";" completionHandler:nil)
...
webView
中的 <body>
元素会设置为蓝色背景样式。然而,如果攻击者提供仍然有效的恶意输入,则也许能够执行任意 JavaScript 代码。例如,因为 JavaScript 可以访问特定类型的私人信息(如 cookies),所以如果攻击者指定 “white";document.body.innerHTML=document.cookie;”作为 UITextField 的输入,cookie 信息将会以可视方式写入页面中。当底层语言提供了对系统资源的访问或允许执行系统命令时,此类攻击甚至更危险,因为在这些情况下,将在对主进程具有完全权限的情况下执行注入的代码。
...
strUserOp = Request.Form('operation')
strResult = Eval(strUserOp)
...
operation
参数为“8 + 7 * 2”的示例中,程序的预期行为是可行的。strResult
变量应返回的值为 22。然而,如果用户打算指定其他有效的语言操作,那么系统不仅会执行这些操作,还会在对主进程具有完全权限的情况下执行。如果底层语言提供了访问系统资源的途径,或者允许执行系统命令,那么执行任意代码会更加危险。例如,如果攻击者打算将 operation
指定为“Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')”,主机系统会执行关机命令。
...
ScriptEngineManager scriptEngineManager = new ScriptEngineManager();
ScriptEngine scriptEngine = scriptEngineManager.getEngineByExtension("js");
ScriptContext newContext = new SimpleScriptContext();
Bindings engineScope = newContext.getBindings(request.getParameter("userName"));
userOps = request.getParameter("operation");
Object result = scriptEngine.eval(userOps,newContext);
...
page_scope
参数是期望的用户名时,程序将正常运行。但是,如果攻击者为 GLOBAL_SCOPE
指定值,则上述操作将访问同一 ScriptEngine
创建的所有引擎内的所有属性。