從不可信賴的數據源執行任意源代碼指令會導致系統執行惡意代碼。
許多現代編程語言都允許動態解析源代碼指令。如果程序員需要由用戶提供的指令對數據操作,這種情況下可以應用這種功能。當然,我們更愿意利用底層語言構造,而不是通過執行代碼來解析用戶輸入。由用戶提供的指令預期執行一些無害的操作,例如,對當前的用戶對象進行簡單計算或修改用戶對象的狀態,等等。然而,如果程序員不夠細心,用戶指定的操作范圍可能會超出程序員最初的設想。
示例:允許用戶指定底層編程構造的典型示例應用程序是計算器。以下 ASP 代碼可接受由用戶指定的要進行計算并返回結果的基本數學操作:
...
strUserOp = Request.Form('operation')
strResult = Eval(strUserOp)
...
operation 參數為 "8 + 7 * 2" 的示例中,程序的預期行為是可行的。strResult 變量應返回的值為 22。然而,如果用戶打算指定其他有效的語言操作,那么系統不僅會執行這些操作,還會在對主進程具有完全權限的情況下執行。如果底層語言提供了訪問系統資源的途徑,或者允許執行系統命令,那么執行任意代碼會更加危險。例如,如果攻擊者打算指定 operation 作為 "Shell('C:\WINDOWS\SYSTEM32\TSSHUTDN.EXE 0 /DELAY:0 /POWERDOWN')",那么主機系統可能會執行關機命令。
[1] Standards Mapping - OWASP Top 10 2010 - (OWASP 2010) A1 Injection
[2] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A2 Injection Flaws
[3] Standards Mapping - OWASP Top 10 2007 - (OWASP 2007) A3 Malicious File Execution
[4] Standards Mapping - OWASP Top 10 2004 - (OWASP 2004) A6 Injection Flaws
[5] Standards Mapping - Security Technical Implementation Guide Version 3 - (STIG 3) APP3510 CAT I, APP3570 CAT I
[6] Standards Mapping - Security Technical Implementation Guide Version 3.4 - (STIG 3.4) APP3510 CAT I, APP3570 CAT I
[7] Standards Mapping - Common Weakness Enumeration - (CWE) CWE ID 95
[8] Standards Mapping - SANS Top 25 2009 - (SANS 2009) Insecure Interaction - CWE ID 116
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.2
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 - (PCI 1.2) Requirement 6.3.1.1, Requirement 6.5.3
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 - (PCI 2.0) Requirement 6.5.1
[12] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 - (PCI 1.1) Requirement 6.5.6
[13] Standards Mapping - FIPS200 - (FISMA) SI