CWE ID: 140
Name: Improper Neutralization of Delimiters
Das Produkt neutralisiert Delimiter nicht oder neutralisiert sie fehlerhaft, was zu potenziellen Injection-Vulnerabilities führen kann.
Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass Delimiter in den Input-Vektoren ihres Produkts injiziert, entfernt oder manipuliert werden können. Um sicherzustellen, dass nur gültige, erwartete und angemessene Eingaben vom System verarbeitet werden, sollte eine geeignete Kombination aus Denylists und Allowlists eingesetzt werden.
Effektivität: Unknown
Beschreibung: Die Verwendung von dynamisch generierten Query Strings, Code oder Commands, die Kontrollelemente und Daten miteinander vermischen, birgt Risiken. In manchen Fällen mag dies jedoch unvermeidlich sein. Argumente sollten korrekt in Anführungszeichen gesetzt und alle speziellen Zeichen innerhalb dieser Argumente escaped werden. Der konservativste Ansatz ist das Escapen oder Filtern aller Zeichen, die nicht durch eine äußerst strikte Allowlist bestehen (z.B. alles, was nicht alphanumerisch oder Whitespace ist). Sollten dennoch spezielle Zeichen benötigt werden, beispielsweise Whitespace, sollten die einzelnen Argumente nach dem Escapen/Filtern Schritt in Anführungszeichen gesetzt werden. Achten Sie auf Argument Injection (CWE-88).
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.
