界: API Abuse
API 就像是呼叫者與被呼叫者之間簽訂的規定。最常見的 API 濫用形式是由呼叫者這一當事方未能遵守此規定所造成的。例如,如果程式在呼叫 chroot() 後無法呼叫 chdir(),即違反規範如何以安全方式變更使用中根目錄的規定。程式庫濫用的另一個好例子是期待被呼叫者向呼叫者傳回值得信賴的 DNS 資訊。在這種情況下,呼叫者是透過對其行為做出某些假設 (傳回值可用於驗證目的) 來濫用被呼叫者 API。另一方也可能違反呼叫者與被呼叫者間的規定。例如,如果編碼器衍生出子類別 SecureRandom 並傳回一個非隨機值,則違反了規定。
Often Misused: Encoding
Abstract
不當覆寫 .NET Framework 中的類別會導致伺服器執行任意程式碼、濫用應用程式邏輯或造成阻斷服務。
Explanation
不論撰寫程式所使用的語言為何,毀壞性最大的攻擊通常都包含了遠端程式碼的執行,攻擊者可藉此在程式的上下文環境中成功的執行惡意程式碼。在 .NET Framework 中,
在執行指標算術運算時,開發人員通常會用不適當的方式覆寫上述方法,進而導致執行任意程式碼、濫用應用程式邏輯和 Denial of Service 等弱點。
Decoder 和 Encoding 類別中的 GetChars 方法,以及 Encoder 和 Encoding 類別中的 GetBytes 方法,會在內部針對字元與位元組陣列進行指標算術運算,來將一系列字元轉換為一系列位元組,或是將一系列位元組轉換為一系列字元。 在執行指標算術運算時,開發人員通常會用不適當的方式覆寫上述方法,進而導致執行任意程式碼、濫用應用程式邏輯和 Denial of Service 等弱點。
References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 176
[2] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[3] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.2 Output Encoding and Injection Prevention Requirements (L1 L2 L3)
[4] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[5] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4
[6] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
desc.structural.dotnet.often_misused_encoding
Abstract
很難正確使用此方法。
Explanation
一般人會很輕易的相信此編碼方法將可防禦 插入式攻擊,但如果這個方法並未在正確的環境中使用,提供的保護可能會比預期的少。
範例 1:下列編碼呼叫大幅提高攻擊者插入惡意 JavaScript 的可能性:
範例 1:下列編碼呼叫大幅提高攻擊者插入惡意 JavaScript 的可能性:
out.println("x = " + encoder.encodeForJavaScript(input) + ";");
References
[1] OWASP ESAPI Secure Coding Guideline
[2] Standards Mapping - Common Weakness Enumeration CWE ID 176
[3] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[4] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.2 Output Encoding and Injection Prevention Requirements (L1 L2 L3)
[5] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[6] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4
[7] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
desc.structural.java.often_misused_encoding
Abstract
識別的呼叫可能最適合字元。傳送至預設 API 方法的不支援字元可能最適合對映至危險字元。
Explanation
若作業系統和在其上執行之應用程式之間的字元集不符,則傳送至預設 API 的不支援字元可能最適合對應至危險字元。
範例 1:在 Objective-C 中,下列範例會將含有 UTF-8 字元的 NSString 物件轉換為 ASCII 資料後再轉換回來:
如果仔細觀察輸出,「...」字元被會被翻譯成三個連續的句號。如果您比較輸出緩衝區和輸入緩衝區,則您的應用程式可能會面臨 Buffer overflow。其他字元可能對應至一個字元至兩個字元。希臘文的「fi」字元將對應至一個「f」後跟一個「i」。透過使用這些字元來預先載入緩衝區,攻擊者便能完全控制用來讓緩衝區溢出的字元數量。
範例 1:在 Objective-C 中,下列範例會將含有 UTF-8 字元的 NSString 物件轉換為 ASCII 資料後再轉換回來:
...
unichar ellipsis = 0x2026;
NSString *myString = [NSString stringWithFormat:@"My Test String%C", ellipsis];
NSData *asciiData = [myString dataUsingEncoding:NSASCIIStringEncoding allowLossyConversion:YES];
NSString *asciiString = [[NSString alloc] initWithData:asciiData encoding:NSASCIIStringEncoding];
NSLog(@"Original: %@ (length %d)", myString, [myString length]);
NSLog(@"Best-fit-mapped: %@ (length %d)", asciiString, [asciiString length]);
// output:
// Original: My Test String... (length 15)
// Best-fit-mapped: My Test String... (length 17)
...
如果仔細觀察輸出,「...」字元被會被翻譯成三個連續的句號。如果您比較輸出緩衝區和輸入緩衝區,則您的應用程式可能會面臨 Buffer overflow。其他字元可能對應至一個字元至兩個字元。希臘文的「fi」字元將對應至一個「f」後跟一個「i」。透過使用這些字元來預先載入緩衝區,攻擊者便能完全控制用來讓緩衝區溢出的字元數量。
References
[1] Apple Secure Coding Guide Apple
[2] String Programming Guide Apple
[3] Standards Mapping - Common Weakness Enumeration CWE ID 176
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.2 Output Encoding and Injection Prevention Requirements (L1 L2 L3)
[6] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[7] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4
[8] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
desc.semantic.objc.method_may_best_fit_map_characters
Abstract
識別的呼叫可能最適合字元。傳送至預設 API 方法的不支援字元可能最適合對映至危險字元。
Explanation
若作業系統和在其上執行之應用程式之間的字元集不符,則傳送至預設 API 的不支援字元可能最適合對應至危險字元。
範例 1:在 Swift 中,下列範例會將含有 UTF-8 字元的 NSString 物件轉換為 ASCII 資料後再轉換回來:
如果仔細觀察輸出,「...」字元被會被翻譯成三個連續的句號。如果您比較輸出緩衝區和輸入緩衝區,則您的應用程式可能會面臨 Buffer overflow。其他字元可能對應至一個字元至兩個字元。希臘文的「fi」字元將對應至一個「f」後跟一個「i」。透過使用這些字元來預先載入緩衝區,攻擊者便能完全控制用來讓緩衝區溢出的字元數量。
範例 1:在 Swift 中,下列範例會將含有 UTF-8 字元的 NSString 物件轉換為 ASCII 資料後再轉換回來:
...
let ellipsis = 0x2026;
let myString = NSString(format:"My Test String %C", ellipsis)
let asciiData = myString.dataUsingEncoding(NSASCIIStringEncoding, allowLossyConversion:true)
let asciiString = NSString(data:asciiData!, encoding:NSASCIIStringEncoding)
NSLog("Original: %@ (length %d)", myString, myString.length)
NSLog("Best-fit-mapped: %@ (length %d)", asciiString!, asciiString!.length)
// output:
// Original: My Test String ... (length 16)
// Best-fit-mapped: My Test String ... (length 18)
...
如果仔細觀察輸出,「...」字元被會被翻譯成三個連續的句號。如果您比較輸出緩衝區和輸入緩衝區,則您的應用程式可能會面臨 Buffer overflow。其他字元可能對應至一個字元至兩個字元。希臘文的「fi」字元將對應至一個「f」後跟一個「i」。透過使用這些字元來預先載入緩衝區,攻擊者便能完全控制用來讓緩衝區溢出的字元數量。
References
[1] Apple Secure Coding Guide Apple
[2] String Programming Guide Apple
[3] Standards Mapping - Common Weakness Enumeration CWE ID 176
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.2 Output Encoding and Injection Prevention Requirements (L1 L2 L3)
[6] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation
[7] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4
[8] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4
desc.semantic.swift.method_may_best_fit_map_characters