Source to Sink
从源到汇
描述
Source(数据源)方法或用户控制的参数被用于调用 sink(危险接收端)方法。
Source 是指可能来自不可信用户的不可信数据输入。Sink 是指危险方法,如果攻击者可以访问,便可能利用它来执行攻击。
必须审查 Source 和 Sink 的潜在漏洞,例如注入(Injection)、不安全的直接对象引用(IDOR)或未经授权的数据访问。
建议
修复建议取决于所识别出的具体漏洞类别。
链接
标准
- OWASP_MASVS_L1:
- MSTG_PLATFORM_2
- OWASP_MASVS_L2:
- MSTG_PLATFORM_2
- PCI_STANDARDS:
- REQ_6_2
- REQ_6_3
- REQ_11_3
- HIPAA_CONTROLS:
- SECURITY212
- SECURITY213
- SECURITY255
- OWASP_MASVS_v2_1:
- MASVS_CODE_4