描述
产品使用一个表达式的运算符优先级导致使用错误的逻辑。
扩展描述
而往往只是一个错误,运算符优先级逻辑错误会有严重的后果,如果他们使用重要的安全代码,如作出认证决定。
的关系
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
阶段 |
请注意 |
实现 |
逻辑错误相关的运算符优先级甚至可能造成问题在正常操作,所以他们可能很快就发现在测试阶段。如果测试是不完整或者有一种强烈的依赖人工审查的代码,然后这些错误可能不被发现之前,软件部署。 |
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围 |
影响 |
可能性 |
保密 完整性 可用性
|
后果会根据周围的环境不正确的优先级。在一个安全的决定,完整性或机密性是最可能的结果。否则,崩溃可能发生由于软件达到一个意想不到的状态。 |
|
利用的可能性
示范例子
示例1
在接下来的例子中,方法validateUser调用另一个方法来验证用户的用户名和密码并返回一个成功或失败的代码。
#定义失败0 #定义成功1
…
int validateUser (char *用户名,char *密码){
int isUser =失败;
/ /调用方法进行身份验证的用户名和密码
/ /如果认证失败,返回失败否则返回成功
如果(isUser = AuthenticateUser(用户名、密码)= =失败){
返回isUser; } 其他{
isUser =成功; }
返回isUser;
}
然而,用户名和密码进行身份验证的方法就是在一个if语句和不正确的运算符优先级逻辑。因为比较运算符“= =”的优先级高于赋值运算符“=”,比较运算符将被评估,如果方法返回失败的比较就会是真的,返回变量设置为true,成功将返回。这个操作符优先级逻辑错误可以很容易地解决的正确使用括号内的表达式if语句,如下所示。
…
如果((isUser = AuthenticateUser(用户名、密码))= =失败){
…
示例2
在本例中,该方法计算投资回报率的会计/财务应用程序。计算投资回报率减去初始投资成本的当前值,然后除以初始投资成本。
公共双calculateReturnOnInvestment(双currentValue,双initialInvestment) {
双returnROI = 0.0;
/ /计算投资回报
returnROI = currentValue - initialInvestment / initialInvestment;
返回returnROI;
}
然而,投资回报率的计算不会产生正确的结果,因为不正确的运算符优先级逻辑方程。把操作符的优先级高于-操作符,因此方程将初始投资成本除以初始投资成本只会从当前值减去1。这算符优先解决逻辑错误的正确使用括号内的方程,如下所示。
…
returnROI = (currentValue - initialInvestment) / initialInvestment;
…
注意,initialInvestment变量在这个例子应该验证,以确保它是大于零,以避免潜在的除以零错误(cwe - 369)。
观察到的例子
参考 |
描述 |
|
身份验证模块允许认证绕过因为它使用”(x =叫(args) = =成功)”,而不是“((x =调用(args)) = =成功)”。 |
|
链:语言解释器计算错误的缓冲区大小( cwe - 131)通过使用“大小= ptr ?X: Y”而不是“大小= (ptr吗?X, Y)”的表情。 |
|
链:产品不正确检查反向DNS查询的结果,因为操作符优先级( cwe - 783),允许绕过以域名系统的访问限制。 |
潜在的缓解措施
实施阶段:
定期包装子表达式的括号,特别是重要的安全代码。 |
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
脆弱性映射笔记
用法:允许
(CWE ID可以用来映射到现实世界的漏洞) |
原因:可接受的使用 |
理由是: 这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。 |
评论: 仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。 |
分类法映射
映射分类名称 |
节点ID |
适合 |
映射节点名 |
CERT C安全编码 |
EXP00-C |
确切的 |
使用括号操作的优先级 |
SEI CERT Perl编码标准 |
EXP04-PL |
CWE更抽象 |
不要把early-precedence逻辑运算符和逻辑运算符late-precedence吗 |
引用
|
(ref - 62)马克·多德约翰麦克唐纳和贾斯汀Schuh。“软件安全评估的艺术”。第六章,“优先”,287页。1版。艾迪生卫斯理》2006。 |
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|