CWE ID: 161
Name: Improper Neutralization of Multiple Leading Special Elements
Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, neutralisiert diese jedoch nicht oder neutralisiert mehrere führende Sonderzeichen fehlerhaft. Dies könnte dazu führen, dass diese Zeichen von einer nachgelagerten Komponente unerwartet interpretiert werden.
Während des Parsing können falsch behandelte, mehrere führende Sonderzeichen dazu führen, dass der Prozess unerwartete Aktionen ausführt, was zu einem Attack führt.
Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass mehrere führende Sonderzeichen in den Input Vektoren ihres Produkts injiziert, entfernt oder manipuliert werden. Eine geeignete Kombination aus Denylists und Allowlists sollte verwendet werden, um sicherzustellen, dass nur gültige, erwartete und angemessene Inputs vom System verarbeitet werden.
Effektivität: Unknown
Beschreibung: Obwohl die Verwendung dynamisch generierter Query Strings, Code oder Commands, die Kontrollelemente und Daten vermischen, riskant ist, kann dies manchmal unvermeidlich sein. Argumente sollten korrekt in Anführungszeichen gesetzt und alle Sonderzeichen innerhalb dieser Argumente escaped werden. Der konservativste Ansatz ist das Escapen oder Filtern aller Zeichen, die nicht durch eine äußerst strikte Allowlist bestehen (z. B. alles, was nicht alphanumerisch oder Leerzeichen ist). Wenn bestimmte Sonderzeichen dennoch benötigt werden, wie z. B. Leerzeichen, sollten jedes Argument nach dem Escapen/Filtern-Schritt in Anführungszeichen gesetzt werden. Achten Sie auf Argument Injection (CWE-88).
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.
