cwe - 1285:不当的验证指定的索引,位置,或抵消输入
 描述
产品接收输入,将指定一个索引,位置,或抵消变成一个可转位资源如缓冲区或文件,但它不验证或不正确验证指定的索引/位置/抵消具有所需的属性。
扩展描述
通常,可转位资源如内存缓冲区或文件可以使用一个特定的位置,访问索引,或抵消,如索引数组或一个文件的位置。当不受信任的输入不正确验证之前作为一个索引,攻击者可以访问(或试图访问)未经授权部分这些资源。这可以导致缓冲区溢出,过度的资源分配,或引发意想不到的失败。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
示范例子
示例1
下面的示例检索消息的大小对于一个pop3邮件服务器。消息大小从套接字检索返回的缓冲区数量和消息大小的消息,消息数量(num)和大小(尺寸)提取缓冲和消息大小被放置到一个数组中使用数组索引的消息数量。
/ *获取所有消息的大小* /
int getsize (int袜子,int, int *大小){
… 字符缓冲区(BUFFER_SIZE); int好; int num、大小;
/ /读取从套接字和值添加到数组大小
((好= gen_recv(袜子,但,sizeof (buf))) = = 0) {
/ /继续从套接字读取到缓冲区只包含“。”
如果(DOTLINE (buf))
打破;
else if (sscanf (buf,“% d % d”, num,大小)= = 2)
大小(num - 1) =大小;
}
…
}
在这个例子中,消息数量从缓冲区可以检索的值超出了允许范围的数组索引,可能是一个负数。没有适当的验证值用于数组索引数组溢出可能发生和可能导致未经授权的访问内存地址和系统崩溃。数组索引的值应进行验证,以确保它是在容许范围内数组的索引如以下代码。
/ *获取所有消息的大小* /
int getsize (int袜子,int, int *大小){
… 字符缓冲区(BUFFER_SIZE); int好; int num、大小;
/ /读取从套接字和值添加到数组大小
((好= gen_recv(袜子,但,sizeof (buf))) = = 0) {
/ /继续从套接字读取到缓冲区只包含“。”
如果(DOTLINE (buf))
打破;
else if (sscanf (buf,“% d % d”, num,大小)= = 2){
如果(num > 0 & & num < = (unsigned)计数)
大小(num - 1) =大小;
其他的
/ *警告可能试图引发缓冲区溢出* /
报告(stderr,“警告:忽略虚假数据服务器返回的消息大小。\ n”);
}
}
…
}
示例2
在下面的示例中,该方法displayProductSummary叫做从Web服务servlet来检索产品摘要信息显示给用户。servlet得到产品的整数值从用户数量并将其传递到displayProductSummary方法。displayProductSummary方法将产品编号的整数值传递给getProductSummary方法获得的产品目录包含项目总结使用整数的数组对象价值的产品编号的数组索引。
/ /方法从servlet调用来获取产品信息
公共字符串displayProductSummary (int指数){
字符串productSummary =新的字符串(" ");
尝试{
字符串productSummary = getProductSummary(指数);
}捕捉(例外的前女友){…}
返回productSummary; }
公共字符串getProductSummary (int指数){
返回产品(指数); }
在本例中使用的整数值作为提供的数组索引,用户可以在容许范围的指标为数组提供意想不到的结果或可能导致应用程序失败。使用的整数值数组索引应该进行验证,以确保它是在容许范围内数组的索引如以下代码。
/ /方法从servlet调用来获取产品信息
公共字符串displayProductSummary (int指数){
字符串productSummary =新的字符串(" ");
尝试{
字符串productSummary = getProductSummary(指数);
}捕捉(例外的前女友){…}
返回productSummary; }
公共字符串getProductSummary (int指数){
字符串productSummary = " ";
如果((指数> = 0)& &(指数< MAX_PRODUCTS)) {
productSummary =产品(指数); } 其他{
System.err。println(“索引越界”);
把新IndexOutOfBoundsException (); }
返回productSummary; }
另一个在Java中是使用的一个ArrayList等集合对象,将自动生成一个异常如果试图访问数组索引越界。
ArrayList productArray = new ArrayList (MAX_PRODUCTS); … 尝试{
productSummary =(字符串)productArray.get(指数); }捕捉(IndexOutOfBoundsException ex) {…}
示例3
下面的示例用户要求一个偏移量到一个数组中选择一个项目。
int主要(int命令行参数个数,char * * argv) {
char *项目[]={“船”、“车”、“卡车”,“训练”};
int指数= GetUntrustedOffset ();
printf(“用户选择% s \ n”,项目[索引1]); }
程序员允许用户指定的元素列表中选择,但是攻击者可以提供一个界外偏移,导致缓冲区上(cwe - 126)。
观察到的例子
| 参考 |
描述 |
|
|
数据包的大型ID作为数组索引 |
|
|
消极的数组索引作为参数流行命令列表 |
潜在的缓解措施
实施阶段:
假设所有的输入是恶意的。使用一个“接受良好的“输入验证策略,即。,使用一个可接受的输入列表,严格遵守规范。拒绝任何不严格符合规范的输入,或将其转换为一些。
当执行输入验证,考虑所有可能相关的属性,包括长度,类型的输入,可接受的值的全系列,缺失或额外的输入,语法,一致性相关领域,符合业务规则。作为业务规则逻辑的一个例子,在语法上“船”可能是有效的,因为它只包含字母数字字符,但它不是有效的如果输入预计仅包含颜色,如“红”或“蓝色”。
不完全依赖寻找恶意或畸形的输入。这很可能错过至少有一个不受欢迎的输入,特别是如果代码的环境变化。这可以让攻击者有足够的空间绕过验证。然而,denylists可以用于检测潜在攻击或确定哪些输入是畸形的,应该直接驳回。
|
笔记
维护
这个条目仍处于开发阶段,将继续看到更新和内容的改进。
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
