CWE ID: 174
Name: Double Decoding of the Same Data
Das Produkt dekodiert dieselbe Eingabe doppelt, was die Effektivität jeglicher Schutzmechanismen, die zwischen den Dekodierungsvorgängen auftreten, einschränken kann.
Effektivität: Unknown
Beschreibung: Vermeiden Sie Entscheidungen, die auf den Namen von Ressourcen (z.B. Dateien) basieren, falls diese Ressourcen alternative Namen haben könnten.
Effektivität: Unknown
Beschreibung: Verwenden und spezifizieren Sie eine Output-Kodierung, die von der nachgelagerten Komponente, die die Ausgabe liest, verarbeitet werden kann. Häufig verwendete Kodierungen sind ISO-8859-1, UTF-7 und UTF-8. Wenn keine Kodierung spezifiziert wird, kann die nachgelagerte Komponente eine andere Kodierung wählen, entweder durch Annahme einer Standardkodierung oder durch automatische Inferenz, welche Kodierung verwendet wird, was zu Fehlinterpretationen führen kann. Bei inkonsistenten Kodierungen kann die nachgelagerte Komponente bestimmte Zeichen oder Byte-Sequenzen fälschlicherweise als Sonderzeichen behandeln, obwohl sie im ursprünglichen Encoding keine Sonderzeichen sind. Angreifer könnten diese Diskrepanz dann ausnutzen, um Injection-Angriffe durchzuführen und sogar Schutzmechanismen zu umgehen, die davon ausgehen, dass die nachgelagerte Komponente ebenfalls das ursprüngliche Encoding verwendet.
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.
