CWE ID: 185
Name: Incorrect Regular Expression
Das Produkt spezifiziert einen Regular Expression, was zu einer fehlerhaften Matching- oder Vergleichsoperation führt.
Wenn der Regular Expression in Schutzmechanismen wie Filtering oder Validation eingesetzt wird, kann dies einem Angreifer ermöglichen, die beabsichtigten Einschränkungen für eingehende Daten zu umgehen.
Effektivität: Unknown
Beschreibung: Auch für erfahrene Personen, die mit dem Schreiben von Grammatiken vertraut sind, können Regular Expressions fehleranfällig werden, insbesondere bei der Definition komplexer Sprachen. Es sollte geprüft werden, ob mehrere kleinere Regular Expressions einen großen vereinfachen. Darüber hinaus sollte der Regular Expression gründlichen Testtechniken wie Equivalence Partitioning, Boundary Value Analysis und Robustness-Tests unterzogen werden. Nachdem Tests durchgeführt wurden und ein angemessener Konfidenzlevel erreicht ist, ist ein Regular Expression nicht narrensicher. Sollte ein Exploit durchrutschen, muss dieser dokumentiert und der Regular Expression refactored werden.
