界: API Abuse
API 就像是呼叫者與被呼叫者之間簽訂的規定。最常見的 API 濫用形式是由呼叫者這一當事方未能遵守此規定所造成的。例如,如果程式在呼叫 chroot() 後無法呼叫 chdir(),即違反規範如何以安全方式變更使用中根目錄的規定。程式庫濫用的另一個好例子是期待被呼叫者向呼叫者傳回值得信賴的 DNS 資訊。在這種情況下,呼叫者是透過對其行為做出某些假設 (傳回值可用於驗證目的) 來濫用被呼叫者 API。另一方也可能違反呼叫者與被呼叫者間的規定。例如,如果編碼器衍生出子類別 SecureRandom 並傳回一個非隨機值,則違反了規定。
System Field Overwrite
Abstract
覆寫系統欄位會導致系統的正常執行不穩定。
Explanation
ABAP 系統欄位在 ABAP 程式中始終可用。在啟動程式之後、傳送螢幕之後以及變更內部模式之後,執行階段系統會根據上下文填寫它們。然後它們可用於程式中查詢系統狀態。系統欄位是變數,但應一律視為常數且唯讀。變更它們的值可能會導致遺失程式流程所需的重要資訊。在客戶 ABAP 程式中僅需變更其中少數值。
對於與 ABAP 程式就執行階段特定資訊進行通訊的系統欄位,若變更這些欄位的值,可能導致中斷或 ABAP 程式以非預期的方式執行。
對於與 ABAP 程式就執行階段特定資訊進行通訊的系統欄位,若變更這些欄位的值,可能導致中斷或 ABAP 程式以非預期的方式執行。
References
[1] ABAP System Fields SAP
[2] Standards Mapping - Common Weakness Enumeration CWE ID 642
[3] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001094
[4] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[5] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-5 Denial of Service Protection (P1)
[6] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-5 Denial of Service Protection
[7] Standards Mapping - OWASP Top 10 2021 A04 Insecure Design
[8] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002400 CAT II
[9] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002400 CAT II
[10] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002400 CAT II
desc.structural.abap.system_field_overwrite