Resource Injection

ABSTRACT

使用用戶輸入控制資源標識符，借此攻擊者可以訪問或修改其他受保護的系統資源。

EXPLANATION

當滿足以下兩個條件時，就會發生 resource injection：

1. 攻擊者可以指定已使用的標識符來訪問系統資源。

例如，攻擊者可能可以指定用來連接到網絡資源的端口號。

2. 攻擊者可以通過指定特定資源來獲取某種權限，而這種權限在一般情況下是不可能獲得的。

例如，程序可能會允許攻擊者把敏感信息傳輸到第三方服務器。

注：Resource injection 涉及存儲在 filesystem 中的資源，（Fortify）可以根據資源名稱的 path manipulation，將其報告為不同的類別。有關這一漏洞的詳細信息，請參見 path manipulation 的描述。

例：下面的代碼使用讀取自 HTTP 請求的端口號來建立一個套接字。


int rPort = Int32.Parse(Request.Item("rPort"));
...
IPEndPoint endpoint = new IPEndPoint(address,rPort);
socket = new Socket(endpoint.AddressFamily, 
SocketType.Stream, ProtocolType.Tcp);
socket.Connect(endpoint);
...

這種受用戶輸入影響的資源表明其中的內容可能存在危險。例如，包含如句點、斜杠和反斜杠等特殊字符的數據在與 file system 相作用的方法中使用時，具有很大風險。類似的，對于創建遠程結點的函數來說，包含 URL 和 URI 的數據也具有很大風險。

REFERENCES

[1] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input

[2] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A4 Insecure Direct Object Reference

[3] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A4 Insecure Direct Object References

[4] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3600 CAT II

[5] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3600 CAT II

[6] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 99

[7] G. Hoglund, G. McGraw Exploiting Software Addison-Wesley

[8] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.4

[9] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1

[10] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.8

[11] Standards Mapping - FIPS200 - (FISMA) SI

亚洲欧美在线