CWE ID: 173
Name: Improper Handling of Alternate Encoding
Das Produkt verarbeitet Eingaben, die eine alternative Kodierung verwenden, die für den Kontrollbereich, an den die Eingabe gesendet wird, gültig ist, nicht korrekt.
Effektivität: Unknown
Beschreibung: Vermeiden Sie Entscheidungen, die auf den Namen von Ressourcen (z.B. Dateien) basieren, falls diese Ressourcen alternative Namen haben können.
Effektivität: Unknown
Beschreibung: Verwenden Sie eine definierte Output-Kodierung, die vom nachgelagerten Component gelesen werden kann, der die Ausgabe verarbeitet. Häufig verwendete Kodierungen sind ISO-8859-1, UTF-7 und UTF-8. Wenn keine Kodierung spezifiziert wird, kann der nachgelagerte Component eine andere Kodierung wählen, entweder durch Annahme einer Standardkodierung oder durch automatische Inferenz der verwendeten Kodierung, was zu Fehlinterpretationen führen kann. Bei inkonsistenten Kodierungen kann der nachgelagerte Component bestimmte Zeichen oder Byte-Sequenzen fälschlicherweise als Sonderzeichen behandeln, obwohl sie im ursprünglichen Encoding keine Sonderzeichen sind. Angreifer könnten diese Diskrepanz dann ausnutzen, um Injection-Angriffe durchzuführen und sogar Schutzmechanismen zu umgehen, die davon ausgehen, dass der nachgelagerte Component die gleiche Kodierung verwendet.
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.
