CWE ID: 149
Name: Improper Neutralization of Quoting Syntax
Zitate, die in ein Produkt injiziert werden, können zur Kompromittierung eines Systems führen. Während Daten geparst werden, kann eine injizierte, fehlende, doppelte oder fehlerhafte Verwendung von Quotes dazu führen, dass der Prozess unerwartete Aktionen ausführt.
Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass Quotes in den Input-Vektoren ihres Produkts injiziert, entfernt oder manipuliert werden. Eine geeignete Kombination aus Denylists und Allowlists sollte verwendet werden, um sicherzustellen, dass nur valide, erwartete und angemessene Eingaben vom System verarbeitet werden.
Effektivität: Unknown
Beschreibung: Obwohl die Verwendung von dynamisch generierten Query Strings, Code oder Commands, die Kontrollelemente und Daten vermischen, riskant ist, kann dies manchmal unvermeidlich sein. Argumente sollten korrekt in Anführungszeichen gesetzt und alle speziellen Zeichen innerhalb dieser Argumente escaped werden. Der konservativste Ansatz ist das Escapen oder Filtern aller Zeichen, die nicht durch eine äußerst strenge Allowlist bestehen (z. B. alles, was nicht alphanumerisch oder Leerzeichen ist). Wenn bestimmte spezielle Zeichen dennoch benötigt werden, wie z. B. Leerzeichen, sollten Sie jedes Argument nach dem Escapen/Filtern-Schritt in Anführungszeichen setzen. Achten Sie auf Argument Injection (CWE-88).
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.
