CWE-95

Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection')

AI Translation Available

The product receives input from an upstream component, but it does not neutralize or incorrectly neutralizes code syntax before using the input in a dynamic evaluation call (e.g. 'eval').

Status

incomplete

Abstraction

variant

Likelihood

medium

Affected Platforms

Java JavaScript Python Perl PHP Ruby Interpreted AI/ML

Technical Details

AI Translation

Common Consequences

confidentiality access control integrity availability other non-repudiation

Impacts

read files or directories read application data bypass protection mechanism gain privileges or assume identity execute unauthorized code or commands hide activities

Detection Methods

automated static analysis

Potential Mitigations

Phases:

architecture and design implementation

Descriptions:

• If possible, refactor your code so that it does not need to use eval() at all.

• Assume all input is malicious. Use an "accept known good" input validation strategy, i.e., use a list of acceptable inputs that strictly conform to specifications. Reject any input that does not strictly conform to specifications, or transform it into something that does. When performing input validation, consider all potentially relevant properties, including length, type of input, the full range of acceptable values, missing or extra inputs, syntax, consistency across related fields, and conformance to business rules. As an example of business rule logic, "boat" may be syntactically valid because it only contains alphanumeric characters, but it is not valid if the input is only expected to contain colors such as "red" or "blue." Do not rely exclusively on looking for malicious or malformed inputs. This is likely to miss at least one undesirable input, especially if the code's environment changes. This can give attackers enough room to bypass the intended validation. However, denylists can be useful for detecting potential attacks or determining which inputs are so malformed that they should be rejected outright.

• For Python programs, it is frequently encouraged to use the ast.literal_eval() function instead of eval, since it is intentionally designed to avoid executing code. However, an adversary could still cause excessive memory or stack consumption via deeply nested structures [REF-1372], so the python documentation discourages use of ast.literal_eval() on untrusted data [REF-1373].

• Inputs should be decoded and canonicalized to the application's current internal representation before being validated (CWE-180, CWE-181). Make sure that your application does not inadvertently decode the same input twice (CWE-174). Such errors could be used to bypass allowlist schemes by introducing dangerous inputs after they have been checked. Use libraries such as the OWASP ESAPI Canonicalization control. Consider performing repeated canonicalization until your input does not change any more. This will avoid double-decoding and similar scenarios, but it might inadvertently modify inputs that are allowed to contain properly-encoded dangerous content.

AI Generated Translation

Common Consequences

riservatezza controllo degli accessi integrità disponibilità altro non-ripudio

Impacts

leggere file o directory leggere dati applicazione elusione del meccanismo di protezione ottenere privilegi o assumere identità eseguire codice o comandi non autorizzati nascondere attività

Detection Methods

analisi statica automatizzata

Potential Mitigations

Phases:

architettura e design implementazione

Descriptions:

• Se possibile, ristruttura il tuo codice in modo che non sia necessario utilizzare eval() in alcun caso.

• Assumi che tutti gli input siano dannosi. Utilizza una strategia di convalida degli input "accetta solo quelli noti come buoni", ovvero utilizza una lista di input accettabili che conformano strettamente alle specifiche. Rifiuta qualsiasi input che non rispetti rigorosamente le specifiche, o trasformalo in qualcosa che lo faccia. Quando esegui la convalida degli input, considera tutte le proprietà potenzialmente rilevanti, inclusi lunghezza, tipo di input, l'intera gamma di valori accettabili, input mancanti o in eccesso, sintassi, coerenza tra campi correlati e conformità alle regole di business. Come esempio di logica di regole di business, "boat" può essere sintatticamente valido perché contiene solo caratteri alfanumerici, ma non è valido se l'input è previsto per contenere solo colori come "red" o "blue". Non fare affidamento esclusivamente sulla ricerca di input dannosi o malformati. Questo potrebbe non individuare almeno un input indesiderato, specialmente se l'ambiente del codice cambia. Questo può dare agli attaccanti abbastanza spazio per aggirare la validazione prevista. Tuttavia, le liste di esclusione (denylists) possono essere utili per rilevare potenziali attacchi o determinare quali input sono così malformati da dover essere rifiutati immediatamente.

• Per i programmi Python, è spesso consigliato utilizzare la funzione ast.literal_eval() invece di eval, poiché è appositamente progettata per evitare l'esecuzione di codice. Tuttavia, un avversario potrebbe comunque causare un consumo eccessivo di memoria o di stack tramite strutture profondamente annidate [REF-1372], quindi la documentazione Python sconsiglia l'uso di ast.literal_eval() su dati non affidabili [REF-1373].

• Gli input dovrebbero essere decodificati e canonicalizzati alla rappresentazione interna corrente dell'applicazione prima di essere validati (CWE-180, CWE-181). Assicurati che la tua applicazione non decodifichi involontariamente lo stesso input più di una volta (CWE-174). Tali errori potrebbero essere sfruttati per aggirare gli schemi di allowlist introducendo input pericolosi dopo che sono stati verificati. Utilizza librerie come il controllo di Canonicalization di OWASP ESAPI. Considera di eseguire una canonicalizzazione ripetuta fino a quando il tuo input non cambia più. Questo eviterà decodifiche doppie e scenari simili, ma potrebbe involontariamente modificare input che sono consentiti contenere contenuti pericolosi correttamente codificati.

CWE-95

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Common Consequences

Impacts

Detection Methods

Potential Mitigations

Iscriviti alla newsletter