• CWE-289: Authentication Bypass by Alternate Name

Das Produkt führt die Authentifizierung basierend auf dem Namen einer zugegriffenen Ressource oder dem Namen des Zugriffsbemühers durch, überprüft jedoch nicht alle möglichen Namen für diese Ressource oder den Actor.

CWE-289: Authentication Bypass by Alternate Name

CWE ID: 289
Name: Authentication Bypass by Alternate Name

Beschreibung

Das Produkt führt die Authentifizierung basierend auf dem Namen einer zugegriffenen Ressource oder dem Namen des Zugriffsbemühers durch, überprüft jedoch nicht alle möglichen Namen für diese Ressource oder den Actor.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Vermeiden Sie Entscheidungen, die auf den Namen von Ressourcen (z.B. Dateien) basieren, falls diese Ressourcen alternative Namen haben können.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Eingehende Daten sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor sie validiert werden (CWE-180). Stellen Sie sicher, dass die Anwendung dieselben Eingaben nicht doppelt dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach ihrer Prüfung eingeführt werden.