Source to Sink

Origen a destino

Riesgo: potencial

Descripción

Un método de origen (source) o un parámetro controlado por el usuario se utiliza para invocar un método de destino (sink).

El origen hace referencia a la entrada de datos no confiables, que puede provenir de un usuario no verificado. El destino hace referencia a un método peligroso que, si es accesible para un atacante, puede aprovecharse para ejecutar un ataque.

Los orígenes y destinos deben ser auditados para identificar vulnerabilidades como inyecciones, referencias indirectas a objetos (IDOR) o accesos no autorizados a datos.

Recomendación

La recomendación varía según la clase de vulnerabilidad identificada.

Enlaces

Estándares

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_2
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_2
• PCI_STANDARDS:
  • REQ_6_2
  • REQ_6_3
  • REQ_11_3
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213
  • SECURITY255
• OWASP_MASVS_v2_1:
  • MASVS_CODE_4