Source to Sink

Source vers Sink

Risque : potentiel

Description

Une méthode source ou un paramètre contrôlé par l'utilisateur est utilisé pour appeler une méthode sink.

La "source" fait référence à une entrée de données non fiable, pouvant provenir d'un utilisateur non authentifié ou malveillant. Le "sink" fait référence à une méthode dangereuse, qui, si elle est accessible par un attaquant, peut être exploitée pour mener une attaque.

Les sources et les sinks doivent être inspectés pour détecter des vulnérabilités telles que des injections, des références directes à des objets non sécurisées (IDOR) ou des accès non autorisés aux données.

Recommandation

La recommandation varie selon la classe de vulnérabilité identifiée.

Liens

Normes

• OWASP_MASVS_L1:
  • MSTG_PLATFORM_2
• OWASP_MASVS_L2:
  • MSTG_PLATFORM_2
• PCI_STANDARDS:
  • REQ_6_2
  • REQ_6_3
  • REQ_11_3
• HIPAA_CONTROLS:
  • SECURITY212
  • SECURITY213
  • SECURITY255
• OWASP_MASVS_v2_1:
  • MASVS_CODE_4