CWE-94

Improper Control of Generation of Code ('Code Injection')

AI Translation Available

The product constructs all or part of a code segment using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the syntax or behavior of the intended code segment.

Status

draft

Abstraction

base

Likelihood

medium

Affected Platforms

Interpreted AI/ML

Technical Details

AI Translation

Common Consequences

access control integrity confidentiality availability non-repudiation

Impacts

bypass protection mechanism gain privileges or assume identity execute unauthorized code or commands hide activities

Detection Methods

automated static analysis

Potential Mitigations

Phases:

architecture and design implementation testing operation

Descriptions:

• Refactor your program so that you do not have to dynamically generate code.

• Assume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range of acceptable values, missing or extra inputs, syntax, consistency across related fields, and conformance to business rules. As an example of business rule logic, "boat" may be syntactically valid because it only contains alphanumeric characters, but it is not valid if the input is only expected to contain colors such as "red" or "blue." Do not rely exclusively on looking for malicious or malformed inputs. This is likely to miss at least one undesirable input, especially if the code's environment changes. This can give attackers enough room to bypass the intended validation. However, denylists can be useful for detecting potential attacks or determining which inputs are so malformed that they should be rejected outright. To reduce the likelihood of code injection, use stringent allowlists that limit which constructs are allowed. If you are dynamically constructing code that invokes a function, then verifying that the input is alphanumeric might be insufficient. An attacker might still be able to reference a dangerous function that you did not intend to allow, such as system(), exec(), or exit().

• Use dynamic tools and techniques that interact with the product using large test suites with many diverse inputs, such as fuzz testing (fuzzing), robustness testing, and fault injection. The product's operation may slow down, but it should not become unstable, crash, or generate incorrect results.

• For Python programs, it is frequently encouraged to use the ast.literal_eval() function instead of eval, since it is intentionally designed to avoid executing code. However, an adversary could still cause excessive memory or stack consumption via deeply nested structures [REF-1372], so the python documentation discourages use of ast.literal_eval() on untrusted data [REF-1373].

• Run your code in a "jail" or similar sandbox environment that enforces strict boundaries between the process and the operating system. This may effectively restrict which code can be executed by your product. Examples include the Unix chroot jail and AppArmor. In general, managed code may provide some protection. This may not be a feasible solution, and it only limits the impact to the operating system; the rest of your application may still be subject to compromise. Be careful to avoid CWE-243 and other weaknesses related to jails.

• Use automated static analysis tools that target this type of weakness. Many modern techniques use data flow analysis to minimize the number of false positives. This is not a perfect solution, since 100% accuracy and coverage are not feasible.

• Run the code in an environment that performs automatic taint propagation and prevents any command execution that uses tainted variables, such as Perl's "-T" switch. This will force the program to perform validation steps that remove the taint, although you must be careful to correctly validate your inputs so that you do not accidentally mark dangerous inputs as untainted (see CWE-183 and CWE-184).

AI Generated Translation

Common Consequences

controllo degli accessi integrità riservatezza disponibilità non-ripudio

Impacts

elusione del meccanismo di protezione ottenere privilegi o assumere identità eseguire codice o comandi non autorizzati nascondere attività

Detection Methods

analisi statica automatizzata

Potential Mitigations

Phases:

architettura e design implementazione verifica operazione

Descriptions:

• Rifattorizza il tuo programma in modo da non dover generare codice dinamicamente.

• Assumi che tutti gli input siano dannosi. Utilizza una strategia di convalida degli input basata su "accetta solo input noti come validi", ovvero utilizza una lista di input accettabili che conformano rigorosamente alle specifiche. Rifiuta qualsiasi input che non si conformi strettamente alle specifiche, oppure trasformalo in qualcosa che lo faccia. Quando esegui la convalida degli input, considera tutte le proprietà potenzialmente rilevanti, inclusi lunghezza, tipo di input, l'intera gamma di valori accettabili, input mancanti o in eccesso, sintassi, coerenza tra campi correlati e conformità alle regole di business. Come esempio di logica di regole di business, "boat" può essere sintatticamente valido perché contiene solo caratteri alfanumerici, ma non è valido se l'input è previsto esclusivamente per colori come "red" o "blue". Non fare affidamento esclusivamente sulla ricerca di input dannosi o malformati. Questo metodo potrebbe fallire nel rilevare almeno un input indesiderato, specialmente se l'ambiente del codice cambia. Ciò può offrire agli attaccanti margini sufficienti per aggirare la validazione prevista. Tuttavia, le liste di negazione (denylists) possono essere utili per rilevare potenziali attacchi o determinare quali input sono così malformati da dover essere rifiutati immediatamente. Per ridurre la probabilità di injection di codice, utilizza allowlist stringenti che limitino le strutture consentite. Se stai costruendo dinamicamente del codice che invoca una funzione, verificare che l'input sia alfanumerico potrebbe essere insufficiente. Un attaccante potrebbe comunque riuscire a fare riferimento a funzioni pericolose che non intendevi consentire, come system(), exec() o exit().

• Utilizzare strumenti e tecniche dinamiche che interagiscono con il prodotto impiegando grandi suite di test con input diversificati, come fuzz testing (fuzzing), testing di robustezza e fault injection. Il funzionamento del prodotto potrebbe rallentare, ma non dovrebbe diventare instabile, crashare o generare risultati errati.

• Per i programmi Python, è spesso consigliato utilizzare la funzione ast.literal_eval() invece di eval, poiché è appositamente progettata per evitare l'esecuzione di codice. Tuttavia, un avversario potrebbe comunque causare un consumo eccessivo di memoria o di stack tramite strutture profondamente annidate [REF-1372], quindi la documentazione Python sconsiglia l'uso di ast.literal_eval() su dati non affidabili [REF-1373].

• Esegui il tuo codice in un ambiente "jail" o in un sandbox simile che imponga limiti rigorosi tra il processo e il sistema operativo. Ciò può limitare efficacemente quale codice può essere eseguito dal tuo prodotto. Gli esempi includono la jail chroot di Unix e AppArmor. In generale, il codice gestito può offrire una certa protezione. Questa soluzione potrebbe non essere praticabile e limita solo l'impatto al sistema operativo; il resto della tua applicazione potrebbe comunque essere soggetto a compromissione. Fai attenzione a evitare CWE-243 e altre vulnerabilità correlate alle jail.

• Utilizzare strumenti di analisi statica automatizzata che mirano a questo tipo di vulnerabilità. Molte tecniche moderne impiegano analisi del flusso di dati per ridurre al minimo il numero di falsi positivi. Questa non è una soluzione perfetta, poiché accuratezza e copertura del 100% non sono realizzabili.

• Esegui il codice in un ambiente che effettua la propagazione automatica del taint e impedisce qualsiasi esecuzione di comandi che utilizza variabili contaminate, come l'opzione "-T" di Perl. Questo costringerà il programma a eseguire passaggi di validazione che rimuovono il taint, ma devi prestare attenzione a validare correttamente gli input affinché non si segni accidentalmente come non contaminati input pericolosi (vedi CWE-183 e CWE-184).

CWE-94

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter