• CWE-150: Improper Neutralization of Escape, Meta, or Control Sequences

Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, neutralisiert diese jedoch nicht oder neutralisiert sie fehlerhaft. Dies betrifft spezielle Elemente, die als Escape-, Meta- oder Control Character Sequenzen interpretiert werden könnten, wenn sie an eine nachgelagerte Komponente gesendet werden.

CWE-150: Improper Neutralization of Escape, Meta, or Control Sequences

CWE ID: 150
Name: Improper Neutralization of Escape, Meta, or Control Sequences

Beschreibung

Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, neutralisiert diese jedoch nicht oder neutralisiert sie fehlerhaft. Dies betrifft spezielle Elemente, die als Escape-, Meta- oder Control Character Sequenzen interpretiert werden könnten, wenn sie an eine nachgelagerte Komponente gesendet werden.

Erweiterte Beschreibung

Während der Datenanalyse kann ein injizierter, fehlender oder fehlerhafter Delimiter dazu führen, dass der Prozess unerwartete Aktionen ausführt.

Risikominderungsmaßnahmen

Maßnahme (Unknown)

Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass Escape-, Meta- und Steuerzeichen/Sequenzen in den Input-Vektoren ihres Produkts injiziert, entfernt oder manipuliert werden. Eine geeignete Kombination aus Denylists und Allowlists sollte verwendet werden, um sicherzustellen, dass nur gültige, erwartete und angemessene Eingaben vom System verarbeitet werden.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Die Verwendung dynamisch generierter Query Strings, Code oder Commands, die Steuerung und Daten miteinander vermischen, birgt Risiken. In manchen Fällen mag dies jedoch unvermeidlich sein. Argumente sollten korrekt in Anführungszeichen gesetzt und alle speziellen Zeichen innerhalb dieser Argumente escaped werden. Der konservativste Ansatz ist, alle Zeichen zu escapen oder zu filtern, die nicht durch eine extrem strenge Allowlist bestehen (z. B. alles, was nicht alphanumerisch oder Leerzeichen ist). Wenn bestimmte spezielle Zeichen dennoch benötigt werden, wie z. B. Leerzeichen, sollten Sie jedes Argument nach dem Escaping/Filtering-Schritt in Anführungszeichen setzen. Seien Sie vorsichtig vor Argument Injection (CWE-88).

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.