CWE ID: 153
Name: Improper Neutralization of Substitution Characters
Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, neutralisiert diese jedoch nicht oder neutralisiert sie fehlerhaft, sodass spezielle Elemente, die als Substitution Characters interpretiert werden könnten, an eine nachgelagerte Komponente weitergeleitet werden.
Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass Substitution Characters in den Input Vektoren ihres Produkts injiziert, entfernt oder manipuliert werden. Setzen Sie eine geeignete Kombination aus Denylists und Allowlists ein, um sicherzustellen, dass nur valide, erwartete und angemessene Eingaben vom System verarbeitet werden.
Effektivität: Unknown
Beschreibung: Obwohl die Verwendung von dynamisch generierten Query Strings, Code oder Commands, die Kontrollelemente und Daten vermischen, riskant ist, kann dies manchmal unvermeidlich sein. Zitieren Sie Argumente korrekt und escapen Sie alle speziellen Zeichen innerhalb dieser Argumente. Der konservativste Ansatz ist das Escapen oder Filtern aller Zeichen, die nicht durch eine äußerst strikte Allowlist bestehen (z. B. alles, was nicht alphanumerisch oder Leerzeichen ist). Wenn bestimmte spezielle Zeichen dennoch benötigt werden, wie z. B. Leerzeichen, umschließen Sie jedes Argument nach dem Escapen/Filtern in Anführungszeichen. Achten Sie auf Argument Injection (CWE-88).
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.
