Fortify Audit Workbench 笔记 Dynamic Code Evaluation: Code Injection

Dynamic Code Evaluation: Code Injection

Abstract

在运行时中解析用户控制的指令，会让攻击者有机会执行恶意代码。

Explanation

许多现代编程语言都允许动态解析源代码指令。 这使得程序员可以执行基于用户输入的动态指令。 当程序员错误地认为由用户直接提供的指令仅会执行一些无害的操作时（如对当前的用户对象进行简单的计算或修改用户的状态），就会出现 code injection 漏洞： 然而，若不经过适当的验证，用户指定的操作可能并不是程序员最初所期望的。 例： 在这个经典的 code injection 实例中，应用程序可以实施一个基本的计算器，该计算器允许用户指定执行命令。

...
userOp = form.operation.value;
calcResult = eval(userOp);
...

如果 operation 参数的值为良性值，程序就可以正常运行。例如，当该值为 "8 + 7 * 2" 时， calcResult变量被赋予的值将为 22。然而，如果攻击者指定的语言操作既有可能是有效的，又有可能是恶意的，那么，只有在对主进程具有完全权限的情况下才能执行这些操作。 如果底层语言提供了访问系统资源的途径或允许执行系统命令，这种攻击甚至会更加危险。 对于 JavaScript，攻击者还可以利用这种漏洞进行 cross-sitescripting 攻击。

Recommendation

在任何时候，都应尽可能地避免动态的代码解析。 如果程序的功能要求对代码进行动态的解析，您可以通过以下方式将此种攻击的可能性降低到最小：尽可能的限制程序中动态执行的代码数量，将此类代码应用到特定的应用程序和上下文中的基本编程语言的子集。 如果需要执行动态代码，应用程序绝不应当直接执行和解析未验证的用户输入。 而应当采取一种间接手段： 创建一份合法操作和数据对象列表，用户可以指定其中的内容，并且只能从中进行选择。 通过这种方法就绝不会直接执行由用户提供的输入了。