CWE ID: 166
Name: Improper Handling of Missing Special Element
Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, behandelt diese aber nicht oder verarbeitet das Fehlen eines erwarteten speziellen Elements fehlerhaft.
Effektivität: Unknown
Beschreibung: Entwickler sollten davon ausgehen, dass spezielle Elemente in den Input-Vektoren ihres Produkts entfernt werden können. Nutzen Sie eine geeignete Kombination aus denylists und allowlists, um sicherzustellen, dass nur gültige, erwartete und angemessene Eingaben vom System verarbeitet werden.
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung in die aktuelle interne Repräsentation der Anwendung dekodiert und canonicalized werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu ausgenutzt werden, allowlist Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.
