La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

CWE Common Weakness Enumeration. CWE-20: Improper Input Validation Un programa no valida correctamente la entrada de datos Un atacante puede “crear” entradas.

Publicada porSebastián Quintana Castellanos Modificado hace 8 años

Presentaciones similares

Presentación del tema: "CWE Common Weakness Enumeration. CWE-20: Improper Input Validation Un programa no valida correctamente la entrada de datos Un atacante puede “crear” entradas."— Transcripción de la presentación:

1 CWE Common Weakness Enumeration

2 CWE-20: Improper Input Validation Un programa no valida correctamente la entrada de datos Un atacante puede “crear” entradas específicas que: Afecten el flujo de control y/o datos Ejecución arbitraria de código Control arbitrario de algún recurso Es el error más común que ocasiona software con debilidades

3 CWE-20: Improper Input Validation

4 Soluciones Si esperas números.....asegúrate de que la entrada de los usuarios sean números! Usar Struts Usar ESAPI de OWASP Suponer que toda entrada es maliciosa, usar “whitelist”, no solamente “blacklist” Validar por: longitud, tipo, sintaxis, y “reglas del negocio” (“lógica del negocio”) Verificar en cliente..... y en servidor!

5 Ejemplo... public static final double price = 20.00; int quantity = currentUser.getAttribute("quantity"); double total = price * quantity; chargeUser(total);... total puede adquirior un valor negativo ya que no se verifica quantity que es dato dado por el usuario total puede adquirior un valor negativo ya que no se verifica quantity que es dato dado por el usuario

6 Ejemplo... #define MAX_DIM 100... /* board dimensions */ int m,n, error; board_square_t *board; printf("Please specify the board height: \n"); error = scanf("%d", &m); if ( EOF == error ) die("No integer passed: Die evil hacker!\n"); printf("Please specify the board width: \n"); error = scanf("%d", &n); if ( EOF == error ) die("No integer passed: Die evil hacker!\n"); if ( m > MAX_DIM || n > MAX_DIM ) die("Value too large: Die evil hacker!\n"); board = (board_square_t*) malloc( m * n * sizeof(board_square_t));... A pesar de que se verifica que m y n sean enteros y no excedan un límite.... Se puede asignar demasiada memoria a board si m y n son negativos que al multiplicarse dan un positivo muy grande CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion') CWE-789: Uncontrolled Memory Allocation A pesar de que se verifica que m y n sean enteros y no excedan un límite.... Se puede asignar demasiada memoria a board si m y n son negativos que al multiplicarse dan un positivo muy grande CWE-400: Uncontrolled Resource Consumption ('Resource Exhaustion') CWE-789: Uncontrolled Memory Allocation

7 Ejemplo private void buildList ( int untrustedListSize ){ if ( 0 > untrustedListSize ) die("Negative value supplied for list size, die evil hacker!"); Widget[] list = new Widget [ untrustedListSize ]; list[0] = new Widget(); } A pesar de que se verifica que la longitud ( untrustedListSize ) de la lista a crear ( Widget ) no sea negativa, se puede dar una longitud igual a 0, arrojando una excepción.... A pesar de que se verifica que la longitud ( untrustedListSize ) de la lista a crear ( Widget ) no sea negativa, se puede dar una longitud igual a 0, arrojando una excepción....

8 Ejemplo void parse_data(char *untrusted_input){ int m, n, error; error = sscanf(untrusted_input, "%d:%d", &m, &n); if ( EOF == error ){ die("Did not specify integer value. Die evil hacker!\n"); } /* proceed assuming n and m are initialized correctly */ } A pesar de que se trata de verificar que los datos leidos sean enteros, se puede dar una Entrada como: 123: Y la variable n quedaría indefinida o no inicializada... CWE-457: Use of Uninitialized Variable A pesar de que se trata de verificar que los datos leidos sean enteros, se puede dar una Entrada como: 123: Y la variable n quedaría indefinida o no inicializada... CWE-457: Use of Uninitialized Variable

9 Ejemplo $birthday = $_GET['birthday']; $homepage = $_GET['homepage']; echo "Birthday: $birthday Homepage: click here " El programador supone que birthday será dado en un formato válido de fecha y homepage En un formato válido de URL pero no hace ninguna verificación, esto permitiría que la persona Que ingresa los datos pueda dar El programador supone que birthday será dado en un formato válido de fecha y homepage En un formato válido de URL pero no hace ninguna verificación, esto permitiría que la persona Que ingresa los datos pueda dar

Descargar ppt "CWE Common Weakness Enumeration. CWE-20: Improper Input Validation Un programa no valida correctamente la entrada de datos Un atacante puede “crear” entradas."

Presentaciones similares

Presentación de Visual Web Developer 2005 Express Edition Alfonso Goyeneche Torres Presidencia Nacional Comunidad Académica Microsoft Junta Directiva Nacional.

Presentación de Visual Web Developer 2005 Express Edition Alfonso Goyeneche Torres Presidencia Nacional Comunidad Académica Microsoft Junta Directiva Nacional.
Curso de java básico (scjp)

Curso de java básico (scjp)
Métodos y parámetros.

Métodos y parámetros.
Archivos de Texto. Introducción Los archivos son una secuencia de bits que se guarda en el disco duro. La ventaja de utilizar archivos es que los datos.

Archivos de Texto. Introducción Los archivos son una secuencia de bits que se guarda en el disco duro. La ventaja de utilizar archivos es que los datos.
CI-2413 Desarrollo de Aplicaciones para Internet

CI-2413 Desarrollo de Aplicaciones para Internet
Estructuras de Decisión I IF - THEN - ELSE

Estructuras de Decisión I IF - THEN - ELSE
Desarrollo de Aplicaciones para Internet

Desarrollo de Aplicaciones para Internet
SESION 3 VALIDACIÓN. Septiembre 2010 SESION 3: VALIDACIÓN Qué propiedad de los controles podemos validar Control Propiedad de Validación HtmlInputText.

SESION 3 VALIDACIÓN. Septiembre 2010 SESION 3: VALIDACIÓN Qué propiedad de los controles podemos validar Control Propiedad de Validación HtmlInputText.
POO en C++: Sintaxis En el .h debe aparecer la declaración de la clase: class NombreClase { private: // atributos y métodos privados public: // atributos.

POO en C++: Sintaxis En el .h debe aparecer la declaración de la clase: class NombreClase { private: // atributos y métodos privados public: // atributos.
INFORMATICA I Funciones CLASE 13.

INFORMATICA I Funciones CLASE 13.
1.2 Sintaxis del lenguaje Java.

1.2 Sintaxis del lenguaje Java.
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO

UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO
ESTRUCTURAS DE SECUENCIA

ESTRUCTURAS DE SECUENCIA
Academia: Informática Tema: Validación de datos Profesor (a): Baños García Yesenia, Lic. Comp. Periodo: Julio – Diciembre 2014.

Academia: Informática Tema: Validación de datos Profesor (a): Baños García Yesenia, Lic. Comp. Periodo: Julio – Diciembre 2014.
Tema 7: Polimorfismo Antonio J. Sierra. Índice Introducción. Sobrecarga de métodos. Objetos como parámetros. Paso de argumentos. Devolución de objetos.

Tema 7: Polimorfismo Antonio J. Sierra. Índice Introducción. Sobrecarga de métodos. Objetos como parámetros. Paso de argumentos. Devolución de objetos.
Métodos Algoritmos y Desarrollo de Programas I. Cuando utilizar métodos  Los métodos se utilizan para romper un problema en pedazos de forma que este.

Métodos Algoritmos y Desarrollo de Programas I. Cuando utilizar métodos  Los métodos se utilizan para romper un problema en pedazos de forma que este.
POO Java Módulo 3 Elementos de programas Identificadores

POO Java Módulo 3 Elementos de programas Identificadores
L ISTAS E NLAZADAS No son mas que un conjunto o lista de objetos que a diferencia de los vectores, estas poseen la capacidad de crecer o decrecer. Por.

L ISTAS E NLAZADAS No son mas que un conjunto o lista de objetos que a diferencia de los vectores, estas poseen la capacidad de crecer o decrecer. Por.
Archivos y Búsqueda Secuencial

Archivos y Búsqueda Secuencial
Archivos Programación.

Archivos Programación.

Presentaciones similares

Anuncios Google