CWE ID: 175
Name: Improper Handling of Mixed Encoding
Das Produkt verarbeitet Eingaben, die verschiedene (gemischte) Encodings verwenden, nicht korrekt.
Effektivität: Unknown
Beschreibung: Vermeiden Sie Entscheidungen, die auf den Namen von Ressourcen (z.B. Dateien) basieren, falls diese Ressourcen alternative Namen haben könnten.
Effektivität: Unknown
Beschreibung: Verwenden und spezifizieren Sie eine Output-Kodierung, die von der nachgelagerten Komponente, die die Ausgabe liest, verarbeitet werden kann. Häufig verwendete Kodierungen sind ISO-8859-1, UTF-7 und UTF-8. Wenn keine Kodierung spezifiziert wird, kann die nachgelagerte Komponente eine andere Kodierung wählen, entweder durch Annahme einer Standardkodierung oder durch automatische Inferenz, welche Kodierung verwendet wird, was zu Fehlern führen kann. Bei inkonsistenten Kodierungen kann die nachgelagerte Komponente bestimmte Zeichen oder Byte-Sequenzen als Sonderzeichen behandeln, obwohl sie im ursprünglichen Encoding keine Sonderzeichen sind. Angreifer könnten diese Diskrepanz dann ausnutzen und Injection-Angriffe durchführen; sie könnten sogar Schutzmechanismen umgehen, die davon ausgehen, dass die nachgelagerte Komponente ebenfalls das ursprüngliche Encoding verwendet.
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.
