代码注入(时序攻击)
critical Web App Scanning 插件 ID 98122
语言:
简介
代码注入(时序攻击)描述
现代 Web 应用程序依赖多种不同的编程语言,这些语言可分为两种风格。这些是客户端语言(如在浏览器中运行的语言,如 JavaScript)和服务器端语言(由服务器执行,如 ASP、PHP、JSP 等),用于形成动态页面,然后发送到客户端。
因为所有服务器端代码都应该由服务器执行,所以它应该只来自受信任的来源。
当服务器获取不受信任的代码(即来自客户端)并执行时,就会发生代码注入。
网络罪犯会滥用此漏洞在服务器上执行任意代码,这可导致服务器完全遭到破坏。
通过注入需要特定时长执行的服务器端代码,扫描程序能够检测到基于时间的代码注入行为,这表示程序未进行正确的输入审查。
解决方案
建议切勿将不受信任的输入作为服务器端代码进行处理。为了验证输入,应用程序应确保提供的值仅包含执行相关操作所需的数据。
例如,如果需要用户名,则不应接受任何非字母字符。
另见
http://docs.python.org/py3k/library/functions.html#eval
http://en.wikipedia.org/wiki/Eval#Ruby
http://perldoc.perl.org/functions/eval.html
插件详情
严重性: Critical
ID: 98122
类型: remote
系列: Code Execution
发布时间: 2017/3/31
最近更新时间: 2023/1/23
扫描模板: api, pci, scan
风险信息
VPR
风险因素: High
分数: 8.4
CVSS v2
风险因素: Critical
基本分数: 10
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: Tenable
CVSS v3
风险因素: Critical
基本分数: 9.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
CVSS 分数来源: Tenable
参考资料信息
OWASP: 2010-A1, 2013-A1, 2017-A1, 2021-A3
WASC: OS Commanding
CAPEC: 108, 15, 242, 35, 43, 6, 77, 88
DISA STIG: APSC-DV-002510
HIPAA: 164.306(a)(1), 164.306(a)(2)
ISO: 27001-A.14.2.5
NIST: sp800_53-SI-10
OWASP API: 2019-API8
OWASP ASVS: 4.0.2-5.2.5, 4.0.2-5.3.8
PCI-DSS: 3.2-6.5.1