Для получения триального ключа
заполните форму ниже
Team License (базовая версия)
Enterprise License (расширенная версия)
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Запросите информацию о ценах
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
GBP
RUB
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Бесплатная лицензия PVS-Studio для специалистов Microsoft MVP
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Мне интересно попробовать плагин на:
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте папку
Spam/Junk и нажмите на письме кнопку "Не спам".
Так Вы не пропустите ответы от нашей команды.

>
>
>
Внедрение команд ОС

Внедрение команд ОС

09 Ноя 2021

Инъекция команд операционной системы (OS command injection) – тип атаки на приложение, предоставляющий злоумышленнику возможность несанкционированного выполнения команд операционной системы на некоторой машине.

Помимо непосредственного внедрения самих команд, злоумышленник также может произвести и инъекцию аргумента (argument injection). Все эти атаки могут приводить к нарушению работы системы, раскрытию конфиденциальных данных и другим неприятным последствиям.

Для защиты от инъекций команд необходимо производить проверку входных данных, конкретная реализация которой зависит от ситуации.

Уязвимости к таким атакам принадлежат категории A3:2021-Injection в списке OWASP Top Ten 2021. В Common Weakness Enumeration им соответствуют позиции CWE-77, CWE-78 и CWE-88.

Пример уязвимости

Для наглядности разберём данную атаку на следующем примере:

const string OperationsExecutorPath = "executor.exe";

private void HandleRequest(HttpRequest request)
{
  ....
  string operationIndex = request.QueryString["operationIndex"];
  Process.Start("cmd", $"/c {OperationsExecutorPath} {operationIndex}");

  ....
}

Используя некоторую утилиту 'executor.exe', приложение будет выполнять различные действия в зависимости от содержимого запроса. Конкретную операцию определяет значение параметра 'operationIndex'. Приложение ожидает, что в данный параметр будет записано некоторое число, которое будет передано в команду. Например, если 'operationIndex' будет равен '1', приложение запустит на выполнение следующую команду:

cmd /c executor.exe 1

Проблема приведённого выше кода состоит в том, что входное значение никак не проверяется, что делает систему уязвимой к инъекциям команд/аргументов. Вместо ожидаемых чисел злоумышленник может передать значение, которое приведёт к выполнению выбранной им вредоносной команды. К примеру, в качестве значения параметра 'operationIndex' может быть передана следующая строка:

0 & del /q /f /s .

Ниже приведена команда, которая будет выполнена при вызове Process.Start:

cmd /c executor.exe 0 & del /q /f /s .

Командный интерпретатор (cmd) воспринимает символ '&' как разделитель команд. Сначала будет выполнен вполне обычный вызов некоторой утилиты 'executor.exe' с аргументом '0', а затем – команда 'del', которая с такими аргументами удалит все файлы в текущей и вложенных директориях (за исключением тех, для которых у приложения нет достаточных прав доступа). Очевидно, что вместо команды 'del' злоумышленник мог бы использовать любую другую. Таким образом, правильно подобранное значение 'operationIndex' позволяет выполнять произвольные команды в системе, где работает приложение.

Инъекции команд и инъекции аргументов

Инъекции команд и аргументов тесно связаны и во многих случаях для обоих типов атак используют термин 'инъекция команд' (command injection). Приведённый пример является демонстрацией сразу двух типов атаки.

С одной стороны, злоумышленник добавил в переданное значение разделитель команд – '&'. Так как приложение не проверило полученную строку на наличие этого разделителя, после обычного вызова 'executor.exe' будет выполнена дополнительная команда 'del'. Атаки, связанные с использованием разделителей команд, классифицируют как инъекции команд (command injection). Согласно Common Weakness Enumeration, такие атаки принадлежат категории CWE-78.

С другой стороны, приложение предполагает использование переданной пользователем строки в качестве аргумента (причём одновременно как cmd, так и утилиты 'executor.exe'). В приведённом примере приложение не проверяет строку на наличие разделителей аргументов (в данном случае – пробелов). Из-за этого злоумышленник может передать в cmd дополнительные аргументы, которые и приводят к выполнению вредоносных команд. Атаки, связанные с добавлением дополнительных аргументов, называют инъекциями аргументов (argument injection). Им соответствует CWE-88.

Оба типа атаки могут быть также отнесены к категории CWE-77, являющейся родительской по отношению к CWE-78 и CWE-88.

Способы защиты

Главная причина появления уязвимости к инъекциям команд/аргументов состоит в отсутствии корректной валидации входных данных. Способ её проведения зависит от ситуации. Самый общий подход заключается в проверке входных данных на наличие разделителей команд и аргументов. Также необходимо убедиться в том, что внешние данные не приведут к подмене исходной команды.

Как правило, наиболее удобным вариантом будет использование подходов, актуальных для конкретного случая. К примеру, если входная строка должна содержать число, то для защиты от атак достаточно проверить, действительно ли пользователь передал число:

private void HandleRequest(HttpRequest request)
{
  ....
  string operationIndex = request.QueryString["operationIndex"];

  if (int.TryParse(operationIndex, out int index))
  {
    Process.Start("cmd", $"/c {OperationsExecutorPath} {index}");
  }
  else
  {
    // error handling
  }
  ....
}

Для поиска таких проблем в коде может быть использован taint-анализ. Данная технология позволит автоматически отследить места возможного попадания небезопасных данных в методы запуска процессов.

Дополнительные ссылки

Популярные статьи по теме
Эффект последней строки

Дата: 31 Май 2014

Автор: Андрей Карпов

Я изучил множество ошибок, возникающих в результате копирования кода. И утверждаю, что чаще всего ошибки допускают в последнем фрагменте однотипного кода. Ранее я не встречал в книгах описания этого …
PVS-Studio для Java

Дата: 17 Янв 2019

Автор: Андрей Карпов

В седьмой версии статического анализатора PVS-Studio мы добавили поддержку языка Java. Пришло время немного рассказать, как мы начинали делать поддержку языка Java, что у нас получилось и какие дальн…
Как PVS-Studio оказался внимательнее, чем три с половиной программиста

Дата: 22 Окт 2018

Автор: Андрей Карпов

PVS-Studio, как и другие статические анализаторы кода, часто выдаёт ложные срабатывания. Но не стоит спешить считать странные срабатывания ложными. Это короткая история о том, как PVS-Studio вновь ок…
Статический анализ как часть процесса разработки Unreal Engine

Дата: 27 Июн 2017

Автор: Андрей Карпов

Проект Unreal Engine развивается - добавляется новый код и изменятся уже написанный. Неизбежное следствие развития проекта - появление в коде новых ошибок, которые желательно выявлять как можно раньш…
Как и почему статические анализаторы борются с ложными срабатываниями

Дата: 20 Мар 2017

Автор: Андрей Карпов

В своей предыдущей статье я писал, что мне не нравится подход, при котором статические анализаторы кода оцениваются с помощью синтетических тестов. В статье приводился пример, воспринимаемый анализат…
Технологии, используемые в анализаторе кода PVS-Studio для поиска ошибок и потенциальных уязвимостей

Дата: 21 Ноя 2018

Автор: Андрей Карпов

Краткое описание технологий, используемых в инструменте PVS-Studio, которые позволяют эффективно обнаруживать большое количество паттернов ошибок и потенциальных уязвимостей. Статья описывает реализа…
Зло живёт в функциях сравнения

Дата: 19 Май 2017

Автор: Андрей Карпов

Возможно, читатели помнят мою статью под названием "Эффект последней строки". В ней идёт речь о замеченной мной закономерности: ошибка чаще всего допускается в последней строке однотипных блоков текс…
Главный вопрос программирования, рефакторинга и всего такого

Дата: 14 Апр 2016

Автор: Андрей Карпов

Вы угадали, ответ - "42". Здесь приводится 42 рекомендации по программированию, которые помогут избежать множества ошибок, сэкономить время и нервы. Автором рекомендаций выступает Андрей Карпов - тех…
Любите статический анализ кода!

Дата: 16 Окт 2017

Автор: Андрей Карпов

Я в шоке от возможностей статического анализа кода, хотя сам участвую в разработке инструмента PVS-Studio. На днях я был искренне удивлён тому, что анализатор оказался умнее и внимательнее меня.
Характеристики анализатора PVS-Studio на примере EFL Core Libraries, 10-15% ложных срабатываний

Дата: 31 Июл 2017

Автор: Андрей Карпов

После большой статьи про проверку операционной системы Tizen мне было задано много вопросов о проценте ложных срабатываний и о плотности ошибок (сколько ошибок PVS-Studio выявляет на 1000 строк кода)…

Комментарии (0)

Следующие комментарии
Этот сайт использует куки и другие технологии, чтобы предоставить вам более персонализированный опыт. Продолжая просмотр страниц нашего веб-сайта, вы принимаете условия использования этих файлов. Если вы не хотите, чтобы ваши данные обрабатывались, пожалуйста, покиньте данный сайт. Подробнее →
Принять