CWE ID: 155
Name: Improper Neutralization of Wildcards or Matching Symbols
Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, neutralisiert diese jedoch nicht oder neutralisiert sie fehlerhaft. Dies betrifft spezielle Elemente, die von einer nachgelagerten Komponente als Wildcards oder Matching-Symbole interpretiert werden könnten.
Während der Datenanalyse kann ein injizierter Wert dazu führen, dass der Prozess unerwartete Aktionen ausführt.
Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass Wildcard- oder Matching-Elemente in den Input-Vektoren ihres Produkts injiziert, entfernt oder manipuliert werden. Um sicherzustellen, dass nur gültige, erwartete und angemessene Eingaben vom System verarbeitet werden, sollte eine geeignete Kombination aus Denylists und Allowlists eingesetzt werden.
Effektivität: Unknown
Beschreibung: Die Verwendung von dynamisch generierten Query Strings, Code oder Commands, die Kontrollelemente und Daten vermischen, birgt Risiken. In manchen Fällen mag dies jedoch unvermeidlich sein. Argumente sollten korrekt in Anführungszeichen gesetzt und alle speziellen Zeichen innerhalb dieser Argumente escaped werden. Der konservativste Ansatz ist, alle Zeichen zu escapen oder zu filtern, die nicht eine äußerst strenge Allowlist passieren, beispielsweise alles, was nicht alphanumerisch oder Leerzeichen ist. Wenn bestimmte spezielle Zeichen dennoch benötigt werden, wie beispielsweise Leerzeichen, sollten jedes Argument nach dem Escaping/Filtering-Schritt in Anführungszeichen gesetzt werden. Achten Sie auf Argument Injection (CWE-88).
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu ausgenutzt werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.
