CWE ID: 172
Name: Encoding Error
Das Produkt codiert oder decodiert die Daten nicht korrekt, was zu unerwarteten Werten führt.
Effektivität: Unknown
Beschreibung: Die Verwendung von dynamisch generierten Query Strings, Code oder Commands, die Kontrollelemente und Daten vermischen, ist riskant. In manchen Fällen mag dies jedoch unvermeidlich sein. Achten Sie darauf, Argumente korrekt zu quotieren und alle speziellen Zeichen innerhalb dieser Argumente zu escapen. Der konservativste Ansatz ist, alle Zeichen zu escapen oder zu filtern, die nicht eine extrem strenge Allowlist passieren, beispielsweise alles, was nicht alphanumerisch oder Leerzeichen ist. Wenn bestimmte spezielle Zeichen dennoch benötigt werden, beispielsweise Leerzeichen, umschließen Sie jedes Argument nach dem Escaping/Filtering-Schritt in Anführungszeichen. Seien Sie vorsichtig vor Argument Injection (CWE-88).
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.
