Dynamic Code Evaluation:Code Injection 动态代码评估:代码注入

最新推荐文章于 2024-07-31 10:55:00 发布
最新推荐文章于 2024-07-31 10:55:00 发布
阅读量156 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SchoolH/article/details/132465692
版权
Abstract:
ext-all-debug.js 文件将未验证的用户输入解析为第 11304 行的源代码。在运行时中解析用户控制的指令,会让攻击者有机会执行恶意代码。
Explanation:
许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时(如对当前的用户对象进行简单的计算或修改用户的状态),就会出现 code injection 漏洞:然而,若不经过适当的验证,用户指定的操作可能并不是程序员最初所期望的。
示例:在这一典型的代码注入示例中,应用程序实施的基本计算器允许用户指定要执行的命令。
...
            userOp = form.operation.value;
            calcResult = eval(userOp);
...
如果 operation 参数的值为良性值,程序就可以正常运行。例如,当该值为 "8 + 7 * 2" 时,calcResult 变量被赋予的值将为 22。然而,如果攻击者指定的语言操作既有可能是有效的,又有可能是恶意的,那么,只有在对主进程具有完全权限的情况下才能执行这些操作。如果底层语言提供了访问系统资源的途径或允许执行系统命令,这种攻击甚至会更加危险。对于 JavaScript,攻击者还可以利用这种漏洞进行 cross-site scripting 攻击。
Instance ID: 76CA8A4FC1DFDFEC36C23CECC2DB3FF9
Priority Metadata Values:
            IMPACT: 5.0
            LIKELIHOOD: 3.07
Legacy Priority Metadata Values:
            SEVERITY: 4.0
            CONFIDENCE: 4.8
Remediation Effort: 4.0
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Recommendations:
在任何时候,都应尽可能地避免动态的代码解析。如果程序的功能要求对代码进行动态的解析,您可以通过以下方式将此种攻击的可能性降低到最小:尽可能的限制程序中动态执行的代码数量,将此类代码应用到特定的应用程序和上下文中的基本编程语言的子集。
如果需要执行动态代码,应用程序绝不应当直接执行和解析未验证的用户输入。而应采用间接方法:创建一份合法操作和数据对象列表,用户可以指定其中的内容,并且只能从中进行选择。利用这种方法,就绝不会直接执行由用户提供的输入。
References:
[1] Standards Mapping - Common Weakness Enumeration, CWE ID 95, CWE ID 494
[2] Standards Mapping - FIPS200, SI
[3] Standards Mapping - NIST Special Publication 800-53 Revision 4, SI-10 Information Input Validation (P1)
[4] Standards Mapping - OWASP Mobile Top 10 Risks 2014, M7 Client Side Injection
[5] Standards Mapping - OWASP Top 10 2004, A6 Injection Flaws
[6] Standards Mapping - OWASP Top 10 2007, A2 Injection Flaws
[7] Standards Mapping - OWASP Top 10 2010, A1 Injection
[8] Standards Mapping - OWASP Top 10 2013, A1 Injection
[9] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1, Requirement 6.5.6
[10] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2, Requirement 6.3.1.1, Requirement 6.5.2
[11] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0, Requirement 6.5.1
[12] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0, Requirement 6.5.1
[13] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1, Requirement 6.5.1
[14] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2, Requirement 6.5.1
[15] Standards Mapping - SANS Top 25 2009, Insecure Interaction - CWE ID 116
[16] Standards Mapping - Security Technical Implementation Guide Version 3.1, APP3510 CAT I, APP3570 CAT I
[17] Standards Mapping - Security Technical Implementation Guide Version 3.10, APP3510 CAT I, APP3570 CAT I
[18] Standards Mapping - Security Technical Implementation Guide Version 3.4, APP3510 CAT I, APP3570 CAT I
[19] Standards Mapping - Security Technical Implementation Guide Version 3.5, APP3510 CAT I, APP3570 CAT I
[20] Standards Mapping - Security Technical Implementation Guide Version 3.6, APP3510 CAT I, APP3570 CAT I
[21] Standards Mapping - Security Technical Implementation Guide Version 3.7, APP3510 CAT I, APP3570 CAT I
[22] Standards Mapping - Security Technical Implementation Guide Version 3.9, APP3510 CAT I, APP3570 CAT I
[23] Standards Mapping - Security Technical Implementation Guide Version 4.1, APSC-DV-001480 CAT II, APSC-DV-001490 CAT II, APSC-DV-002560 CAT I
[24] Standards Mapping - Web Application Security Consortium Version 2.00, Improper Input Handling (WASC-20)
BabyWeb.cn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
react-dynamic-import:使用动态导入动态加载和渲染任何React模块(组件或HOC)
04-28
应与任何支持动态导入的捆绑程序(例如,webpack,parcel等)一起使用 :sparkles:目录执照 安装 NPM npm install react-dynamic-import 纱yarn add react-dynamic-import UMD构建< script src =" ...
代码审计For小白
qq_28083513的博客
02-22 1806
前言:对于没从事过开发的人来说,代码审计是有不小的挑战的,要快速上手,就需要一些小技巧了。详情请看“审计关键”。 Java常见漏洞Top10: 日志伪造Log Forging:将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。 示例代码: public void risk(HttpServletRequest request, HttpServletRespons...
fortify源代码扫描问题分析汇总
Websec
07-21 1万+
编号 漏洞名称 漏洞危害 修复建议 1 Dynamic Code Evaluation: Unsafe Deserialization 动态代码评估:不安全的反序列化 Actuator正是Spring Boot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Spring beans信息、系统环境变量的配置信以及Web请求的详细信息等。在使用...
代码注入漏洞
dichu8371的博客
10-12 758
代码注入 维基百科,自由的百科全书 跳到导航跳到搜索 代码注入Code injection)是一种肇因于处理非法数据的计算机臭虫应用。代码注入可被攻击者用来导入代码到某特定的计算机程序,以改变程序的运行进程或目的。代码注入攻击的结果可以是灾难性的。例如说:代码注入可作为许多计算机蠕虫繁殖的温床。 目录 1概说及例子 2代码注入的用途 ...
Fortify漏洞之Dynamic Code Evaluation: Code Injection动态脚本注入)和 Password Management: Hardcoded Password(密...
arkqyo2595的博客
05-14 1729
  继续对Fortify的漏洞进行总结,本篇主要针对 Dynamic Code Evaluation: Code Injection动态脚本注入)和Password Management: Hardcoded Password(密码硬编码)的漏洞进行总结,如下: 1.1、产生原因:   许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。...
c++代码示例_2个小时学会源代码审计
weixin_39755873的博客
11-23 478
很多刚入行信息安全的童鞋总喜欢抱怨Code Audit很难,CA工作涉及多种开发语言,如C/C++/Java/Javascript/JSP/PHP/Python等等,结合自身多年的代码审计经验,在这里我总结了一些可以快速上手的技巧,帮助你们快速出活。下面列举审计中最常见的十类Java安全漏洞。一、日志伪造Log Forging:将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内...
Fotify扫描问题Dynamic Code Evaluation:Code Injection
u013247068的博客
07-31 340
  在使用fotify代码扫描时,程序中JavaScript 的 eval() 函数使用的地方会报Dynamic Code Evaluation:Code Injection,解释为动态代码评估代码注入,Web 开发中。这两种风险都可能导致严重的安全问题.   其安全问题大致描述为 1、动态执行的代码可能会包含恶意代码,导致安全漏洞。 2、代码注入,通过各种方式注入恶意代码,这些代码可能会执...
dynamic-cdi:动态上下文依赖注入
05-26
欢迎使用Project Dynamic CDI JDK信息 实际版本是从JDK8到JDK13。 1.0.x版本基于JDK8。 该实现涵盖了超过90%的变异测试覆盖率。 您可以在_docu /下找到最后一个报告 DDI将如何解决相应的实现? 如果您编写@Inject...
编译器设计之代码分析工具:Dynamic Code Analyzers.zip
最新发布
08-09
编译器设计之代码分析工具:Dynamic Code Analyzers
dyci-main:用于Objective-C的动态代码注入工具
02-04
该工具允许您将代码注入正在运行的iOS应用程序中,而无需重新启动它。 DyCI并不是要在应用程序中加载新代码。 DyCI致力于加速发展。 每次使用DyCI都可以节省时间。警告在更新Xcode之前,请先卸载DyCI。 如果您不这样...
JAVA-Dynamic-Projects:源代码-java project source code
03-24
JAVA-Dynamic-Projects:源代码
Fortify扫描漏洞解决方案
热门推荐
一杯咖啡的渗透记忆
03-23 1万+
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。 2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要...
Fortify代码扫描解决方案
weixin_34072159的博客
08-24 5593
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时...
Fortify漏洞之Sql Injection(sql注入
arkqyo2595的博客
05-07 2244
  公司最近启用了Fortify扫描项目代码,报出较多的漏洞,安排了本人进行修复,近段时间将对修复的过程和一些修复的漏洞总结整理于此!   本篇先对Fortify做个简单的认识,同时总结一下sql注入的漏洞! 一、Fortify软件介绍   Fortify是一款能扫描分析代码漏洞的强大工具,是由一家加州软件安全厂商开发而成,该公司成立于2003年,它于2010年被惠普收购。现在,它...
win10下java安装以及环境配置
ru_li的专栏
11-14 557
我用的JDK1.13,下载地址:https://www.oracle.com/technetwork/java/javase/downloads/jdk13-downloads-5672538.html 选择最下面的window x64进行下载,下载到本地后点击运行: 之后傻瓜安装一直next就可以了,其实也不需要刻意把jdk换到其他盘,在c盘就可以: 可以看到jd...
Fortify 5.1漏洞整改方案(1)
chongweimei5390的博客
06-19 1917
很多企业对代码的安全性有着很高的要求,目前使用的较为多的扫描代码安全漏洞的工具为Fortify 5.1。以下为一些漏洞的解决方案,欢迎指正。 1.Password Management: Empty Password 1)简介:为密码变量指定空字符串绝非一个好方法。如果使用 emp...
Dynamic Code Evaluation: Unsafe Deserialization是什么意思
03-28
Dynamic Code Evaluation动态代码评估)是一种程序设计技术,允许程序在运行时执行动态生成的代码。而Unsafe Deserialization(不安全的反序列化)是指将序列化的数据还原为对象时,由于缺乏有效的安全检查,可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值