CWE ID: 142
Name: Improper Neutralization of Value Delimiters
Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, neutralisiert diese jedoch nicht oder neutralisiert sie fehlerhaft, sodass spezielle Elemente, die als Value Delimiters interpretiert werden könnten, an eine nachgelagerte Komponente gesendet werden.
Während des Parsens von Daten kann ein injizierter, fehlender oder fehlerhafter Delimiter dazu führen, dass der Prozess unerwartete Aktionen ausführt.
Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass Value Delimiters in den Input Vektoren ihres Produkts injiziert, entfernt oder manipuliert werden. Eine geeignete Kombination aus Denylists und Allowlists sollte verwendet werden, um sicherzustellen, dass nur gültige, erwartete und angemessene Inputs vom System verarbeitet werden.
Effektivität: Unknown
Beschreibung: Die Verwendung von dynamisch generierten Query Strings, Code oder Commands, die Kontrollelemente und Daten vermischen, ist riskant, kann aber manchmal unvermeidlich sein. Argumente sollten korrekt in Anführungszeichen gesetzt und alle speziellen Zeichen innerhalb dieser Argumente escaped werden. Der konservativste Ansatz ist, alle Zeichen zu escapen oder zu filtern, die nicht durch eine extrem strenge Allowlist bestehen (z. B. alles, was nicht alphanumerisch oder Whitespace ist). Wenn bestimmte spezielle Zeichen dennoch benötigt werden, wie z. B. Whitespace, sollten Sie jedes Argument nach dem Escaping/Filtering-Schritt in Anführungszeichen setzen. Achten Sie auf Argument Injection (CWE-88).
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.
