Abstract:
ext-all-debug.js 文件將未驗證的用戶輸入解析為第 11304 行的源代碼。在運行時中解析用戶控制的指令,會讓攻擊者有機會執行惡意代碼。
Explanation:
許多現代編程語言都允許動態解析源代碼指令。這使得程序員可以執行基於用戶輸入的動態指令。當程序員錯誤地認為由用戶直接提供的指令僅會執行一些無害的操作時(如對當前的用戶對象進行簡單的計算或修改用戶的狀態),就會出現 code injection 漏洞:然而,若不經過適當的驗證,用戶指定的操作可能並不是程序員最初所期望的。
示例:在這一典型的代碼注入示例中,應用程序實施的基本計算器允許用戶指定要執行的命令。
...
userOp = form.operation.value;
calcResult = eval(userOp);
...
如果 operation 參數的值為良性值,程序就可以正常運行。例如,當該值為 "8 + 7 * 2" 時,calcResult 變量被賦予的值將為 22。然而,如果攻擊者指定的語言操作既有可能是有效的,又有可能是惡意的,那么,只有在對主進程具有完全權限的情況下才能執行這些操作。如果底層語言提供了訪問系統資源的途徑或允許執行系統命令,這種攻擊甚至會更加危險。對於 JavaScript,攻擊者還可以利用這種漏洞進行 cross-site scripting 攻擊。
Instance ID: 76CA8A4FC1DFDFEC36C23CECC2DB3FF9
Priority Metadata Values:
IMPACT: 5.0
LIKELIHOOD: 3.07
Legacy Priority Metadata Values:
SEVERITY: 4.0
CONFIDENCE: 4.8
Remediation Effort: 4.0
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Recommendations:
在任何時候,都應盡可能地避免動態的代碼解析。如果程序的功能要求對代碼進行動態的解析,您可以通過以下方式將此種攻擊的可能性降低到最小:盡可能的限制程序中動態執行的代碼數量,將此類代碼應用到特定的應用程序和上下文中的基本編程語言的子集。
如果需要執行動態代碼,應用程序絕不應當直接執行和解析未驗證的用戶輸入。而應采用間接方法:創建一份合法操作和數據對象列表,用戶可以指定其中的內容,並且只能從中進行選擇。利用這種方法,就絕不會直接執行由用戶提供的輸入。
References:
[1] Standards Mapping - Common Weakness Enumeration, CWE ID 95, CWE ID 494
[2] Standards Mapping - FIPS200, SI
[3] Standards Mapping - NIST Special Publication 800-53 Revision 4, SI-10 Information Input Validation (P1)
[4] Standards Mapping - OWASP Mobile Top 10 Risks 2014, M7 Client Side Injection
[5] Standards Mapping - OWASP Top 10 2004, A6 Injection Flaws
[6] Standards Mapping - OWASP Top 10 2007, A2 Injection Flaws
[7] Standards Mapping - OWASP Top 10 2010, A1 Injection
[8] Standards Mapping - OWASP Top 10 2013, A1 Injection
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1, Requirement 6.5.6
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2, Requirement 6.3.1.1, Requirement 6.5.2
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0, Requirement 6.5.1
[12] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0, Requirement 6.5.1
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1, Requirement 6.5.1
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2, Requirement 6.5.1
[15] Standards Mapping - SANS Top 25 2009, Insecure Interaction - CWE ID 116
[16] Standards Mapping - Security Technical Implementation Guide Version 3.1, APP3510 CAT I, APP3570 CAT I
[17] Standards Mapping - Security Technical Implementation Guide Version 3.10, APP3510 CAT I, APP3570 CAT I
[18] Standards Mapping - Security Technical Implementation Guide Version 3.4, APP3510 CAT I, APP3570 CAT I
[19] Standards Mapping - Security Technical Implementation Guide Version 3.5, APP3510 CAT I, APP3570 CAT I
[20] Standards Mapping - Security Technical Implementation Guide Version 3.6, APP3510 CAT I, APP3570 CAT I
[21] Standards Mapping - Security Technical Implementation Guide Version 3.7, APP3510 CAT I, APP3570 CAT I
[22] Standards Mapping - Security Technical Implementation Guide Version 3.9, APP3510 CAT I, APP3570 CAT I
[23] Standards Mapping - Security Technical Implementation Guide Version 4.1, APSC-DV-001480 CAT II, APSC-DV-001490 CAT II, APSC-DV-002560 CAT I
[24] Standards Mapping - Web Application Security Consortium Version 2.00, Improper Input Handling (WASC-20)