*声明：《缺陷周话》栏目系列文章由奇安信代码卫士团队原创出品。未经许可，禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

代码审计是使用静态分析发现源代码中安全缺陷的方法，辅助开发或测试人员在软件上线前较为全面地了解安全问题,防患于未然，因此一直以来都是学术界和产业界研究的热点，并已成为安全开发生命周期 SDL 和 DevSecOps 等保障体系的重要技术手段。

奇安信代码卫士团队基于自主研发的国内首款源代码安全检测商用工具，以及十余年漏洞技术研究的积累，推出“缺陷周话”系列栏目。每周针对 CWE、OWASP 等标准中的一类缺陷，结合实例和工具使用进行详细介绍，旨在为广大开发和安全人员提供代码审计的基础性标准化教程。

1、ContentProvider URI 注入

ContentProvider 作为 Android 的四大组件之一，常常用来为不同的应用之间数据共享提供统一的接口。在Android系统中各应用的数据是对外隔离的，如果想要访问其它应用的部分数据就需要 ContentProvider，例如应用访问联系人这个功能就用到了 ContentProvider。ContentProvider 的使用类似于数据库的操作，它拥有增删改查的操作，同样的 ContentProvider也具有被注入的风险。构建含有用户输入的 ContentProvider 查询指令会让攻击者能够访问未经授权的内容或者动态构造一个 ContentProvider 查询 URI，造成字符串查询注入。本文以J**A语言源代码为例，分析“ContentProvider URI 注入”缺陷产生的原因以及修复方法。该缺陷的详细介绍请参见CWE ID  89: ImproperNeutralization of Special Elements used in an SQL Command (‘SQL Injection’)(http://cwe.mitre.org/data/definitions/89.html)。

2、“ContentProvider URI 注入”的危害

ContentProvider URI 注入通常情况下会造成信息缺失和恶意访问应用数据。

从2019年1月至2019年10月，CVE中共有1条漏洞信息与其相关。漏洞如下：

3、示例代码

3.1 缺陷代码

上述代码操作是获取 EditText 接收到的值作为URI构造 ContentProvider 查询语句。首先第18行 Activity 加载布局文件，第19行通过 findViewById() 方法找到布局文件中对应的 EditText 控件，第20行获取 et 这个文本输入框的值。第21行调用 Uri.parse() 方法返回的是一个 URI 类型，通过这个URI可以访问一个网络或者是本地的资源。第22行调用 getContentResolver() 方法会返回一个 ContentResolver 对象，这个对象是内容解析器，Android中程序间数据的共享是通过 Provider/Resolver 进行的。提供内容的就叫Provider，Resovler 提供接口对提供的内容进行解读。返回的对象调用query() 方法来按照用户输入的内容进行查询。假定应用程序提供了多个URI作为 ContentProvider 的入口，如 “content://my.authority/messages” 和 “content://my.authority/messages/test”。

在上述代码片段中，程序中未校验用户输入的内容，并且程序动态构建查询 URI 拼接字符串。攻击者可以通过向 msgId 代码提供值 deleted 调用 content://my.authority/messages/deleted 来改变查询的意义。使用代码卫士对上述示例代码进行检测，可以检出“ContentProvider URI 注入”缺陷，显示等级为高，从跟踪路径中可以分析出数据的污染源以及数据流向。在代码行第22报出缺陷，如图1所示：

图1：“ContentProvider URI 注入”检测示例

3.2 修复代码

在上述修复代码中，在第21行使用 Uri.encode() 方法对接收的 URI 进行编码，该方法使用 UTF-8 编码集将给定字符串中的部分字符进行编码，编码可以有效避免特殊字符参与程序语句构造造成的程序歧义，这种歧义会导致注入的发生。

使用代码卫士对修复后的代码进行检测，可以看到已不存在“ContentProvider URI 注入”缺陷。如图2所示：

图2：修复后检测结果

4、如何避免“ContentProvider URI 注入”

阻止注入攻击的最佳做法是采用一些间接手段。例如创建一份合法资源名的列表，并且规定用户只能选择其中的资源名。使用这种方法，用户不能直接指定资源名称。在某些情况下，这种方法并不可行，因为这样一份合法资源名的列表过于庞大，难以跟踪。因此，通常在这种情况下也可以采用黑名单的办法。在输入之前，黑名单会有选择地拒绝或避免潜在的危险字符。但是，不完整的黑名单仍有可能出现纰漏。相对于以上两种方式，更好的方法是创建一份白名单，允许其中的字符出现在资源名称中，且只接受完全由这些被认可的字符组成的输入。

推荐阅读

【缺陷周话】第55期：返回值未初始化

【缺陷周话】第54 期：组件间通信XSS

【缺陷周话】第53期：不当的循环终止

【缺陷周话】第52期——不安全的SSL：过于广泛的信任证书

【缺陷周话】第51期：死代码

【缺陷周话】第50期：日志伪造

【缺陷周话】第49期：未使用的局部变量

【缺陷周话】第48期：动态解析代码

【缺陷周话】第47期：参数未初始化

【缺陷周话】第46期：邮件服务器建立未加密的连接

【缺陷周话】第45期：进程控制

【缺陷周话】第44期：Spring Boot 配置错误：不安全的 Actuator

【缺陷周话】第43期：不当的函数地址使用

【缺陷周话】第42期 — Cookie：未经过SSL加密

【缺陷周话】第41期：忽略返回值

【缺陷周话】第40期：JSON 注入

【缺陷周话】第 39期：解引用未初始化的指针

【缺陷周话】第 38期——不安全的反序列化：XStream

【缺陷周话】第 37期：未初始化值用于赋值操作

【缺陷周话】第 36 期：弱验证

【缺陷周话】第 35 期：除数为零

【缺陷周话】第 34 期：重定向

【缺陷周话】第 33期：错误的资源关闭

【缺陷周话】第 32期：弱加密

【缺陷周话】第 31 期：错误的内存释放方法

【缺陷周话】第 30 期：不安全的哈希算法

【缺陷周话】第 29 期：返回栈地址

【缺陷周话】第 28 期：被污染的内存分配

【缺陷周话】第 27 期：不安全的随机数

【缺陷周话】第 26期：被污染的格式化字符串

【缺陷周话】第 25期：硬编码密码

【缺陷周话】第 24期：在scanf 函数中没有对 %s 格式符进行宽度限制

【缺陷周话】第 23期：双重检查锁定

【缺陷周话】第 22期：错误的内存释放对象

【缺陷周话】第 21 期：数据库访问控制

【缺陷周话】第 20 期：无符号整数回绕

【缺陷周话】第19期：LDAP 注入

【缺陷周话】第18 期  XPath 注入

【缺陷周话】第17 期：有符号整数溢出

【缺陷周话】第 16 期 — 资源未释放：流

【缺陷周话】第 15 期 — 资源未释放：文件

【缺陷周话】第 14 期 ：HTTP 响应截断

【缺陷周话】第 13期 ：二次释放

【缺陷周话】第 12期 ：存储型 XSS

【缺陷周话】第 11期 ：释放后使用

【缺陷周话】第 10 期 ：反射型 XSS

【缺陷周话】第 9 期 ：缓冲区下溢

【缺陷周话】第 8 期 ：路径遍历

【缺陷周话】第 7 期 ：缓冲区上溢

【缺陷周话】第 6 期 ：命令注入

【缺陷周话】第5期 ：越界访问

【缺陷周话】第4期 ：XML 外部实体注入

【缺陷周话】第3期 ：内存泄漏

【缺陷周话】第 2 期 ：SQL 注入

【缺陷周话】第1期 ：空指针解引用

*奇安信代码卫士团队原创出品。未经许可，禁止转载。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

来源：freebuf.com 2019-10-21 12:26:06 by: 奇安信代码卫士