 描述
产品提供了一个应用程序编程接口(API)或类似的界面交互与外部演员,但接口包括一个危险的方法或函数,不适当的限制。
扩展描述
这个弱点可能导致各种各样的合成弱点,根据暴露的行为方法。它可以适用于任何数量的技术和方法,如ActiveX控件,Java函数,ioctl等等。
暴露可能发生在几个不同的方式:
- 函数/方法从来就没有受到外部演员。
- 函数/方法只是为了访问一组有限的演员,如互联网访问从一个网站。
的关系
模式的介绍
 不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
完整性
保密
可用性
访问控制
其他
|
技术的影响:获得特权或假设的身份;阅读应用程序数据;修改应用程序数据;执行未经授权的代码或命令;其他
将重要的功能本质上为攻击者提供了特权暴露水平的功能。这可能导致修改或暴露敏感数据或甚至可能执行任意代码。 |
|
利用的可能性
示范例子
示例1
在下面的Java示例方法removeDatabase将删除数据库中指定的输入参数的名称。
公共空间removeDatabase(字符串数据库名){
尝试{
=声明支撑conn.createStatement ();
支撑。执行(“数据库”+数据库名);
}捕捉(SQLException ex) {…} }
本例中的方法声明公开,因此暴露在应用程序中的任何类。删除一个数据库应该考虑一个关键操作在应用程序和访问这些潜在危险的方法应该被限制。在Java这可以简单地通过声明方法完成私人从而让它只封闭类下面的例子。
私人空间removeDatabase(字符串数据库名){
尝试{
=声明支撑conn.createStatement ();
支撑。执行(“数据库”+数据库名);
}捕捉(SQLException ex) {…} }
示例2
这些Android和iOS应用程序拦截URL WebView中加载和执行特殊操作如果使用一个特定的URL方案,从而使Javascript WebView中交流与应用程序:
/ /安卓
@Override 公共布尔shouldOverrideUrlLoading (WebView视图中,字符串url) {
如果(url.substring (0, 14) .equalsIgnoreCase (examplescheme: ")) {
如果(url.substring (25) .equalsIgnoreCase (“getUserInfo”)) {
writeDataToView(视图中,用户数据);
返回错误; } 其他{
返回true; } } }
(坏的代码)
例如语言:objective - c
/ / iOS
(保龄球)webView:(UIWebView *) exWebView shouldStartLoadWithRequest: (NSURLRequest *) exRequest navigationType: exNavigationType (UIWebViewNavigationType) {
NSURL * URL = [exRequest URL]; 如果([[URL方案]isEqualToString: @ " exampleScheme "]) {
resourceSpecifier NSString * functionString = [URL]; 如果([functionString hasPrefix: @ " specialFunction "]) {
/ /使数据可用webview。
UIWebView * webView =[自我writeDataToView: [URL查询]];
} 返回NO; } 返回YES; }
打个电话到本机代码可以由在URL传递参数:
窗口。位置= examplescheme: / /方法? =参数值
因为应用程序不检查源,一个恶意网站加载在这个WebView有相同的访问API是一个可信任的网站。
示例3
这个应用程序使用WebView来显示网站,并创建一个Javascript接口的Java对象允许增强的功能在一个可信赖的网站:
公开课WebViewGUI延伸活动{
WebView mainWebView;
公共空间onCreate(包savedInstanceState) {
super.onCreate (savedInstanceState);
mainWebView = new WebView(这个);
mainWebView.getSettings () .setJavaScriptEnabled(真正的);
mainWebView。addJavascriptInterface(新JavaScriptInterface (),“userInfoObject”);
mainWebView.loadUrl(“文件:/ / / android_asset / www / index . html”);
setContentView (mainWebView); }
最后一节课JavaScriptInterface {
JavaScriptInterface () {}
公共字符串getUserInfo () {
返回currentUser.Info (); } } }
Android 4.2之前所有方法,包括继承的,暴露于Javascript使用addJavascriptInterface时()。这意味着一个恶意网站加载在这个WebView可以使用反射来获取任意Java对象的引用。这将允许网站代码来执行任何操作父应用程序授权。
例如,如果应用程序允许发送短信:
<脚本>
userInfoObject.getClass () .forName (android.telephony.SmsManager) .getMethod (getDefault, null)。attackMessage sendTextMessage (attackNumber空,空,空); > < /脚本
这种恶意脚本可以使用userInfoObject对象加载SmsManager对象和任意的短信发送给收件人。
示例4
Android 4.2后,只有方法注释@JavascriptInterface可用在JavaScript中,保护使用getClass()在默认情况下,在这个例子中:
最后一节课JavaScriptInterface {
JavaScriptInterface () {}
@JavascriptInterface 公共字符串getUserInfo () {
返回currentUser.Info (); } }
上面这段代码不容易受到攻击,但仍可能公开用户信息恶意WebView中加载页面。甚至恶意iframes加载一个可信的页面内可以访问公开的接口:
<脚本>
var信息= window.userInfoObject.getUserInfo ();
sendUserInfo(信息); > < /脚本
这种恶意代码在一个iframe可以访问接口对象和窃取用户的数据。
观察到的例子
| 参考 |
描述 |
|
|
任意的Java代码执行通过暴露的方法 |
|
|
安全工具ActiveX控件允许下载或上传的文件 |
潜在的缓解措施
阶段:体系结构和设计
如果你必须公开方法,确保对所有执行输入验证参数,限制访问授权方和预防所有可能的漏洞。 |
阶段:体系结构和设计;实现
识别所有暴露的功能。显式地列出所有功能必须接触到一些用户或用户组。确定哪些功能可能是:
-
所有用户访问
-
局限于一个小的特权用户
-
禁止直接访问
确保遵循这些期望的实现代码。这包括设置适当的访问修饰符,适用(公有、私有、保护,等等)或不标记safe-for-scripting ActiveX控件。
|
弱点Ordinalities
| Ordinality |
描述 |
|
主 |
(其他弱点的弱点存在独立的) |
笔记
研究的差距
低报和超。这个弱点可能出现在任何技术、语言或框架,允许程序员外部各方提供一个功能接口,但它不是大量报道。2007年,CVE开始显示出显著增加暴露的报道方法ActiveX应用程序中的漏洞,以及IOCTL访问操作系统资源。这些缺点已经记录了Java应用程序在各种安全编程的来源,但很少有报道在CVE,这表明有限意识脆弱性研究社区的大部分地区。
引用
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
