CWE ID: 159
Name: Improper Handling of Invalid Use of Special Elements
Das Produkt filtert, entfernt, maskiert oder verwaltet die unsachgemäße Verwendung spezieller Elemente in benutzergesteuerter Eingabe nicht ausreichend, was zu unerwünschten Auswirkungen auf sein Verhalten und seine Integrität führen könnte.
Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass spezielle Elemente in die Input-Vektoren ihres Software-Systems injiziert, entfernt oder manipuliert werden. Eine geeignete Kombination aus Denylists und Allowlists sollte verwendet werden, um sicherzustellen, dass nur gültige, erwartete und angemessene Input vom System verarbeitet werden.
Effektivität: Unknown
Beschreibung: Obwohl die Verwendung von dynamisch generierten Query Strings, Code oder Commands, die Kontrolle und Daten vermischen, riskant ist, kann dies manchmal unvermeidlich sein. Argumente sollten korrekt in Anführungszeichen gesetzt und alle speziellen Zeichen innerhalb dieser Argumente escaped werden. Der konservativste Ansatz ist, alle Zeichen zu escapen oder zu filtern, die nicht durch eine äußerst strenge Allowlist bestehen (z.B. alles, was nicht alphanumerisch oder Leerzeichen ist). Wenn bestimmte spezielle Zeichen dennoch benötigt werden, wie z.B. Leerzeichen, sollten jedes Argument nach dem Escaping/Filtering-Schritt in Anführungszeichen gesetzt werden. Achten Sie auf Argument Injection (CWE-88).
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.
