Affected Platforms

Not Technology-Specific Web Based Web Server

Extended Description

AI Translation

Developers may assume that inputs such as cookies, environment variables, and hidden form fields cannot be modified. However, an attacker could change these inputs using customized clients or other attacks. This change might not be detected. When security decisions such as authentication and authorization are made based on the values of these inputs, attackers can bypass the security of the software.

Without sufficient encryption, integrity checking, or other mechanism, any input that originates from an outsider cannot be trusted.

Technical Details

AI Translation

Common Consequences

confidentiality access control availability other

Impacts

bypass protection mechanism gain privileges or assume identity varies by context

Detection Methods

manual static analysis automated static analysis - binary or bytecode manual static analysis - binary or bytecode dynamic analysis with automated results interpretation dynamic analysis with manual results interpretation manual static analysis - source code automated static analysis - source code architecture or design review

Potential Mitigations

Phases:

architecture and design operation implementation

Descriptions:

• Use a vetted library or framework that does not allow this weakness to occur or provides constructs that make this weakness easier to avoid. With a stateless protocol such as HTTP, use a framework that maintains the state for you. Examples include ASP.NET View State [REF-756] and the OWASP ESAPI Session Management feature [REF-45]. Be careful of language features that provide state support, since these might be provided as a convenience to the programmer and may not be considering security.

• When using PHP, configure the application so that it does not use register_globals. During implementation, develop the application so that it does not rely on this feature, but be wary of implementing a register_globals emulation that is subject to weaknesses such as CWE-95, CWE-621, and similar issues.

• Store state information and sensitive data on the server side only. Ensure that the system definitively and unambiguously keeps track of its own state and user state and has rules defined for legitimate state transitions. Do not allow any application user to affect state directly in any way other than through legitimate actions leading to state transitions. If information must be stored on the client, do not do so without encryption and integrity checking, or otherwise having a mechanism on the server side to catch tampering. Use a message authentication code (MAC) algorithm, such as Hash Message Authentication Code (HMAC) [REF-529]. Apply this against the state or sensitive data that has to be exposed, which can guarantee the integrity of the data - i.e., that the data has not been modified. Ensure that a strong hash function is used (CWE-328).

• For any security checks that are performed on the client side, ensure that these checks are duplicated on the server side, in order to avoid CWE-602. Attackers can bypass the client-side checks by modifying values after the checks have been performed, or by changing the client to remove the client-side checks entirely. Then, these modified values would be submitted to the server.

• Understand all the potential areas where untrusted inputs can enter your software: parameters or arguments, cookies, anything read from the network, environment variables, reverse DNS lookups, query results, request headers, URL components, e-mail, files, filenames, databases, and any external systems that provide data to the application. Remember that such inputs may be obtained indirectly through API calls. Identify all inputs that are used for security decisions and determine if you can modify the design so that you do not have to rely on submitted inputs at all. For example, you may be able to keep critical information about the user's session on the server side instead of recording it within external data.

AI Generated Translation

Common Consequences

riservatezza controllo degli accessi disponibilità altro

Impacts

elusione del meccanismo di protezione ottenere privilegi o assumere identità varia dal contesto

Detection Methods

analisi statica manuale analisi statica automatizzata - binario o bytecode analisi statica manuale - binario o bytecode analisi dinamica con interpretazione automatica dei risultati analisi dinamica con interpretazione manuale dei risultati analisi statica manuale - codice sorgente analisi statica automatizzata - codice sorgente revisione dell'architettura o del design

Potential Mitigations

Phases:

architettura e design operazione implementazione

Descriptions:

• Utilizza una libreria o un framework verificato che non consenta questa vulnerabilità o che fornisca costrutti che rendano più facile evitarla. Con un protocollo stateless come HTTP, utilizza un framework che mantiene lo stato per te. Esempi includono ASP.NET View State [REF-756] e la funzionalità di Gestione Sessioni di OWASP ESAPI [REF-45]. Fai attenzione alle funzionalità del linguaggio che forniscono supporto allo stato, poiché queste potrebbero essere fornite come comodità per il programmatore e potrebbero non considerare gli aspetti di sicurezza.

• Quando si utilizza PHP, configurare l'applicazione in modo che non utilizzi register_globals. Durante l'implementazione, sviluppare l'applicazione in modo da non fare affidamento su questa funzione, ma fare attenzione a non implementare un'eventuale emulazione di register_globals soggetta a vulnerabilità come CWE-95, CWE-621 e problemi simili.

• Memorizza le informazioni di stato e i dati sensibili esclusivamente sul lato server. Assicurati che il sistema tenga in modo definitivo e inequivocabile traccia del proprio stato e dello stato dell'utente e che abbia regole definite per le transizioni di stato legittime. Non consentire a nessun utente dell'applicazione di influenzare direttamente lo stato in alcun modo, se non attraverso azioni legittime che portano a transizioni di stato. Se le informazioni devono essere memorizzate sul client, non farlo senza crittografia e verifica dell'integrità, o senza un meccanismo lato server per rilevare manomissioni. Utilizza un algoritmo di codice di autenticazione del messaggio (MAC), come Hash Message Authentication Code (HMAC) [REF-529]. Applica questo contro lo stato o i dati sensibili che devono essere esposti, in modo da garantire l'integrità dei dati — cioè, che i dati non siano stati modificati. Assicurati che venga utilizzato un algoritmo di hash forte (CWE-328).

• Per qualsiasi verifica di sicurezza eseguita sul lato client, assicurarsi che tali verifiche siano duplicate anche sul lato server, al fine di evitare CWE-602. Gli attaccanti possono aggirare le verifiche lato client modificando i valori dopo che sono stati eseguiti, o modificando il client per rimuovere completamente le verifiche lato client. Successivamente, questi valori modificati verrebbero inviati al server.

• Comprendi tutte le potenziali aree in cui possono entrare input non affidabili nel tuo software: parametri o argomenti, cookie, qualsiasi dato letto dalla rete, variabili di ambiente, reverse DNS lookups, risultati delle query, intestazioni delle richieste, componenti dell'URL, e-mail, file, nomi di file, database e qualsiasi sistema esterno che fornisce dati all'applicazione. Ricorda che tali input possono essere ottenuti anche indirettamente tramite chiamate API. Identifica tutti gli input utilizzati per le decisioni di sicurezza e valuta se puoi modificare il design in modo da non dover fare affidamento sugli input inviati. Ad esempio, potresti essere in grado di conservare le informazioni critiche sulla sessione dell'utente sul lato server anziché registrarle all’interno di dati esterni.

CWE-807

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter