• CWE-184: Incomplete List of Disallowed Inputs

Das Produkt implementiert einen Schutzmechanismus, der auf einer Liste von Eingaben (oder Eigenschaften von Eingaben) basiert, die entweder nicht durch Richtlinie erlaubt sind oder anderweitig eine Neutralisierung erfordern, bevor eine weitere Verarbeitung stattfindet. Die Liste ist jedoch unvollständig.

CWE-184: Incomplete List of Disallowed Inputs

CWE ID: 184
Name: Incomplete List of Disallowed Inputs

Beschreibung

Das Produkt implementiert einen Schutzmechanismus, der auf einer Liste von Eingaben (oder Eigenschaften von Eingaben) basiert, die entweder nicht durch Richtlinie erlaubt sind oder anderweitig eine Neutralisierung erfordern, bevor eine weitere Verarbeitung stattfindet. Die Liste ist jedoch unvollständig.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Verlassen Sie sich nicht ausschließlich auf die Erkennung verbotener Eingaben. Es gibt zu viele Varianten, um einen Character zu encodieren, insbesondere wenn unterschiedliche Environments verwendet werden, was eine hohe Wahrscheinlichkeit birgt, einige Varianten zu übersehen. Nutzen Sie die Erkennung verbotener Eingaben lediglich als Mechanismus zur Detektion verdächtiger Aktivitäten. Stellen Sie sicher, dass Sie andere Schutzmechanismen einsetzen, die ausschließlich “gute” Eingaben identifizieren – beispielsweise Allowlists – und stellen Sie sicher, dass Ihre Outputs korrekt encodiert werden.