Java

JAVA.IO.TAINT.VULN : Tainted Data in Vulnerable Method (Java)

要旨

Tainted external data might flow into a vulnerable point.

プロパティ

クラス名 Tainted Data in Vulnerable Method (Java)
日本語クラス名 Tainted Data in Vulnerable Method (Java)
クラス分類 セキュリティ (security)
ニーモニック JAVA.IO.TAINT.VULN
カテゴリー
CWE CWE:74 Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection')
  CWE:349 Acceptance of Extraneous Untrusted Data With Trusted Data
OWASP-2017 OWASP-2017:A1 Injection
  OWASP-2017:A5 Broken access control
OWASP-2021 OWASP-2021:A1 Broken access control
  OWASP-2021:A3 Injection
対応言語 Java で利用可能です。
有効/無効設定 このワーニングクラスのチェックはデフォルトで有効になっています。チェックを無効にするにはプロジェクト設定ファイル (configuration file)に以下の WARNING_FILTER ルールを追加してください。 
WARNING_FILTER += discard class="Tainted Data in Vulnerable Method (Java)"


package com.juliasoft.julia.tests.checks.useOfUncontrolledExternalData;

import android.app.Activity;
import android.content.BroadcastReceiver;
import android.content.Context;
import android.content.Intent;
import android.net.Uri;
import android.os.Bundle;

import android.webkit.WebView;

public class UncontrolledActivity extends Activity
{
  WebView mWebView;
      
  protected void onCreate(Bundle paramBundle)  {
      super.onCreate(paramBundle);
      BroadcastReceiver receiver = new BroadcastReceiver() {
          public void onReceive(Context arg0, Intent intent) {
          String s = intent.getStringExtra("url");
          Intent i = new Intent(Intent.ACTION_VIEW);
          i = i.setAction(s);
          startActivity(i);   // "Tainted Data in Vulnerable Method (Java)" warning issued here 
          }
      };
  }
}

The warning is relative to external intent and its data. An external intent with external data could lead to security issues, because could be executed activity with untrusted data.

関連のある設定ファイルパラメータ

設定ファイルの以下のパラメータがこのワーニングクラスのチェックに影響します。