Setting Manipulation

ABSTRACT

允許對系統設置進行外部控制可以導致服務中斷或意外的應用程序行為。

EXPLANATION

當攻擊者能夠通過控制某些值來監控系統的行為、管理特定的資源、或在某個方面影響應用程序的功能時，就是發生了 Setting Manipulation 漏洞。

由于 Setting Manipulation 漏洞影響到許多功能，因此，對它的任何說明都必然是不完整的。與其在 Setting Manipulation 這一類中尋找各個功能之間的緊密關系，不如往后退一步，考慮有哪些系統數值類型不能由攻擊者來控制。

例 1：以下 Java 代碼片段從 HttpServletRequest 中讀取一個字符串，并將該字符串設置為數據庫 Connection 中的當前目錄。


...
conn.setCatalog(request.getParamter("catalog"));
...

在該例子中，攻擊者通過提交一個不存在的目錄名，或者連接到數據庫中未授權的部分，從而可以引出一個錯誤。

總之，應禁止使用用戶提供的數據或通過其他途徑獲取不可信任的數據，以防止攻擊者控制某些敏感的數值。雖然攻擊者控制這些數值的影響不會總能立刻顯現，但是不要低估了攻擊者的攻擊力。

REFERENCES

[1] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A1 Unvalidated Input

[2] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I

[3] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I

[4] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 15

[5] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1

[6] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.1

亚洲欧美在线