CWE ID: 129
Name: Improper Validation of Array Index
Das Produkt verwendet nicht vertrauenswürdige Eingaben bei der Berechnung oder Verwendung eines Array-Index, validiert diesen jedoch nicht oder validiert ihn fehlerhaft, um sicherzustellen, dass der Index auf eine gültige Position innerhalb des Arrays verweist.
Effektivität: Unknown
Beschreibung: Nutzen Sie ein Input-Validation-Framework wie Struts oder die OWASP ESAPI Validation API. Beachten Sie jedoch, dass die Verwendung eines Frameworks nicht automatisch alle Input-Validation-Probleme behebt; achten Sie auf Schwachstellen, die durch eine fehlerhafte Verwendung des Frameworks selbst entstehen könnten (CWE-1173).
Effektivität: Unknown
Beschreibung: Seien Sie besonders vorsichtig bei der Validierung aller Eingaben, wenn Sie Code aufrufen, der Sprachgrenzen überschreitet, beispielsweise von einer interpretierten Sprache zu nativem Code. Dies könnte zu einer unerwarteten Interaktion zwischen den Sprachgrenzen führen. Stellen Sie sicher, dass Sie keine Erwartungen der Sprache verletzen, mit der Sie interagieren. Beispielsweise kann Java zwar nicht anfällig für Buffer Overflows sein, aber die Übergabe eines großen Arguments an einen Aufruf von nativem Code könnte einen Overflow auslösen.
Effektivität: Unknown
Beschreibung: Führen Sie Ihren Code mit den geringsten Berechtigungen aus, die zur Erfüllung der notwendigen Aufgaben erforderlich sind [REF-76]. Wenn möglich, erstellen Sie isolierte Accounts mit begrenzten Berechtigungen, die nur für eine einzelne Aufgabe verwendet werden. Auf diese Weise verschafft ein erfolgreicher Angriff dem Angreifer nicht sofort Zugriff auf den Rest der Software oder ihrer Umgebung. Beispielsweise benötigen Datenbankanwendungen selten die Ausführung als Datenbankadministrator, insbesondere im täglichen Betrieb.
