 描述
产品搜索关键资源使用外来的搜索路径,可以指向资源不受产品的直接控制。
扩展描述
这可能允许攻击者执行自己的计划,访问未经授权的数据文件,或修改配置以意想不到的方式。如果产品使用一个搜索路径定位等关键资源计划,那么攻击者可以修改搜索路径指向一个恶意程序,有针对性的产品就会执行。问题延伸到任何类型的关键资源,产品信任。
一些最常见的变异不可信的搜索路径是:
- 在不同的UNIX和linux系统,PATH环境变量可能咨询定位可执行程序,和LD_PRELOAD可能用于定位一个单独的库。
- 在各种基于微软系统,PATH环境变量是咨询来定位一个DLL,如果DLL没有发现其他路径出现早些时候搜索顺序。
替代条款
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
673年 |
范围定义的外部影响 |
| ChildOf |
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
642年 |
外部控制临界状态的数据 |
| PeerOf |
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
427年 |
不受控制的搜索路径元素 |
| PeerOf |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
428年 |
非上市搜索路径或元素 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“软件开发”(cwe - 699)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1219年 |
文件处理问题 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
668年 |
曝光资源错误的球体 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关视图”架构概念”(cwe - 1008)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1011年 |
授权的演员 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
完整性
保密
可用性
访问控制
|
技术的影响:获得特权或假设的身份;执行未经授权的代码或命令
有潜在的任意代码执行程序特权的脆弱。 |
|
可用性
|
程序可以被重定向到错误的文件,可能引发崩溃或挂起,当目标文件太大或者没有预期的格式。 |
|
保密
|
这个程序可以向攻击者发送授权文件的输出。 |
|
利用的可能性
示范例子
示例1
这个项目的目的是执行一个命令列表的内容限制目录,然后执行其他操作。假设它运行setuid特权为了绕过权限检查由操作系统。
#定义DIR /限制/目录”
char cmd [500];
sprintf (cmd,“ls - l % 480年代”,DIR);
/ *提高特权访问所需DIR。* /
RaisePrivileges (…);
系统(cmd);
DropPrivileges (…);
…
这段代码看起来无害,因为目录和命令设置为固定值,攻击者无法控制。攻击者可以只看到迪尔的内容,这是预期的程序行为。最后,程序员也谨慎地限制了特权的执行的代码。
然而,由于程序不修改PATH环境变量,以下攻击工作:
- 用户设置的路径参考目录攻击者的控制,如“/我/ dir /”。
- 攻击者创建一个名为“ls”的恶意程序,并将程序的/我的/ dir
- 执行程序的用户。
- 执行系统()时,shell咨询路径找到ls程序
- 程序发现攻击者的恶意程序,“/我/ dir / ls”。没有找到“/ bin / ls”,因为路径不包含“/ bin /”。
- 在程序执行攻击者的恶意程序的特权。
示例2
这段代码打印属于当前用户的所有正在运行的进程。
/ /假设getCurrentUser()返回一个用户名,保证字母数字(避免cwe - 78)
用户名=美元getCurrentUser (); $命令= ps辅助| grep。美元的用户名; 系统($命令);
如果调用一个未经授权的网络用户,它是提供一个web页面在底层系统潜在的敏感信息,如命令行参数(cwe - 497)。这个程序也可能容易受到基于路径的攻击(cwe - 426),攻击者可以创建恶意版本的ps或grep命令。当程序不明确提高特权运行系统命令,PHP解释器可能与更高的特权用户默认情况下运行。
示例3
下面的代码是一个web应用程序,允许用户访问接口,他们可以通过系统上更新自己的密码。在这种环境下,用户密码可以使用网络管理信息系统(NIS),这是常用的UNIX系统上。当执行NIS更新,更新密码的过程的一部分是运行一个命令/var/yp目录中。执行NIS更新需要额外的特权。
…
System.Runtime.getRuntime () .exec(“制造”);
…
这里的问题是,程序不指定一个绝对路径使,不干净的环境中执行之前调用Runtime.exec ()。如果攻击者可以修改$ PATH变量指向一个恶意二进制称为制造并导致程序执行在他们的环境中,则会加载恶意二进制而不是一个目的。因为应用程序的性质,它运行执行系统操作所需的特权,这意味着攻击者的与这些特权,使现在将运行可能让攻击者完全控制系统。
观察到的例子
| 参考 |
描述 |
|
|
应用程序依赖于其PATH环境变量来查找和执行程序。 |
|
|
数据库应用程序依赖于其PATH环境变量来查找和执行项目。 |
|
|
链:不受信任的搜索路径使合成通过加载恶意国际化消息格式字符串。 |
|
|
不可信的搜索路径在Windows环境中使用恶意. exe。 |
|
|
setuid程序允许妥协使用路径查找并加载一个恶意的图书馆。 |
|
|
服务器允许客户机指定的搜索路径,可以指一个程序修改客户端上传了。 |
潜在的缓解措施
阶段:体系结构和设计;实现
硬编码的搜索路径组known-safe值(如系统目录),或者只允许他们被管理员在配置文件中指定。不允许由外部方修改这些设置。应该注意避免相关的弱点等 cwe - 426和 cwe - 428。 |
实施阶段:
当调用其他程序,这些程序使用完全限定路径名指定。虽然这是一种有效的方法,使用完全限定路径名的代码可能不可以移植到其他系统不使用相同的路径名。可以提高可移植性的定位在一个集中的完全限定路径,easily-modifiable源代码中的位置,并引用这些路径的代码。 |
实施阶段:
删除或限制所有环境设置之前调用其他程序。这包括PATH环境变量LD_LIBRARY_PATH,和其他设置识别代码库的位置,和任何特定于应用程序的搜索路径。 |
实施阶段:
使用前检查你的搜索路径,删除任何元素可能不安全,如当前工作目录或临时文件目录。 |
实施阶段:
使用其他功能需要显式路径。利用其他现成的函数,需要显式路径是一个安全的方式来避免这个问题。例如,系统用C()不需要完整路径自壳可以照顾它,虽然execl返回以后()和()需要一个完整路径。 |
检测方法
黑盒
使用监控工具,检查软件的流程与操作系统交互和网络。这种技术的情况很有用的源代码不可用,如果软件并不是由你,或者如果你想验证构建阶段并没有引入任何新的弱点。例子包括调试器直接附加到正在运行的进程;系统调用跟踪实用程序,如桁架(Solaris)和strace (Linux);系统活动监视器如FileMon、RegMon、过程监控、和其他的Sysinternals工具(Windows);嗅探器和协议分析,监控网络流量。
把监控过程和寻找库函数和系统调用显示搜索路径时被使用。一个模式是当程序执行的多个访问相同的文件在不同的目录,但一再失败,直到找到正确的文件名。库调用,比如getenv()或他们的等效可以全面检查,看是否还有path-related变量被访问。
|
自动静态分析
自动静态分析,通常被称为静态应用程序安全性测试(科协),可以找到一些实例的这个弱点分析源代码或二进制/编译后的代码,而不必执行它。通常情况下,这是通过建立一个模型的数据流和控制流,然后寻找潜在攻击模式,连接“源”与“下沉”(输入)的起源(目的地数据与外部组件交互,较低的层,如操作系统,等等)。
|
手动分析
使用工具和技术,需要手动(人类)的分析,如渗透测试、威胁建模和交互工具,允许测试人员记录和修改一个活跃的会话。这些可能是更有效的比严格的自动化技术。尤其如此弱点设计和相关的业务规则。 |
功能区域
影响资源
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
脆弱性映射笔记
用法:允许
(CWE ID可以用来映射到现实世界的漏洞) |
原因:可接受的使用 |
理由是: 这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。 |
评论: 仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。 |
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 千鸟 |
|
|
不可信的搜索路径 |
| 扣 |
|
|
相对路径库搜索 |
| CERT C安全编码 |
ENV03-C |
|
当调用外部程序清洁环境 |
引用
|
|
|
(ref - 62)马克·多德约翰麦克唐纳和贾斯汀Schuh。“软件安全评估的艺术”。第十章、流程属性,603页。1版。艾迪生卫斯理》2006。 |
|
[ref - 176]大卫迈克尔·霍华德和勒布朗。编写安全代码。第八章,“规范表示的问题。”Page 229. 1st Edition. Microsoft Press. 2001-11-13. |
|
[ref - 207]约翰Viega和Gary McGraw。“构建安全软件:如何避免安全问题的正确方式”。第十二章,“信任管理和输入验证。”Pages 317-320. 1st Edition. Addison-Wesley. 2002. |
|
|
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
