CWE ID: 113
Name: Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Request/Response Splitting’)
Das Produkt empfängt Daten von einem HTTP Agenten/Komponente (z.B. Webserver, Proxy, Browser, etc.), neutralisiert diese jedoch nicht oder neutralisiert CR und LF Zeichen fehlerhaft, bevor die Daten in ausgehenden HTTP Headern enthalten sind.
Effektivität: Unknown
Beschreibung: Konstruieren Sie HTTP Header äußerst sorgfältig und vermeiden Sie die Verwendung von nicht validiertem Input Data.
Effektivität: Unknown
Beschreibung: Verwenden und spezifizieren Sie eine Output Encoding, die vom nachgelagerten Component gelesen werden kann, der die Ausgabe verarbeitet. Häufig verwendete Encodings sind ISO-8859-1, UTF-7 und UTF-8. Wenn keine Encoding spezifiziert wird, kann ein nachgelagerter Component eine andere Encoding wählen, entweder durch Annahme einer Standard-Encoding oder durch automatische Inferenz, welche Encoding verwendet wird, was zu Fehlinterpretationen führen kann. Bei inkonsistenten Encodings kann der nachgelagerte Component bestimmte Zeichen oder Byte-Sequenzen fälschlicherweise als Sonderzeichen behandeln, obwohl sie im ursprünglichen Encoding keine sind. Angreifer könnten diese Diskrepanz dann ausnutzen, um Injection Attacks durchzuführen und sogar Schutzmechanismen zu umgehen, die davon ausgehen, dass der nachgelagerte Component die ursprüngliche Encoding ebenfalls verwendet.
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.
