CWE ID: 353
Name: Missing Support for Integrity Check
Das Produkt verwendet ein Transmissionsprotokoll, das keinen Mechanismus zur Verifizierung der Datenintegrität während der Übertragung beinhaltet, beispielsweise eine Checksumme.
Wenn Integritätsprüfwert oder “checksums” aus einem Protokoll weggelassen werden, besteht keine Möglichkeit festzustellen, ob Daten während der Übertragung beschädigt wurden. Das Fehlen einer Checksum-Funktionalität in einem Protokoll eliminiert die erste Anwendungsebene, die zur Datenprüfung verwendet werden kann. Die End-to-End-Philosophie der Prüfungen besagt, dass Integritätsprüfungen auf der niedrigsten Ebene durchgeführt werden sollten, auf der sie vollständig implementiert werden können. Abgesehen von weiteren Sanity Checks und Input Validation, die von Anwendungen durchgeführt werden, stellt die Checksum des Protokolls die wichtigste Ebene der Checksum-Prüfung dar, da sie umfassender durchgeführt werden kann als auf früheren Ebenen und vollständige Messages berücksichtigt, im Gegensatz zu einzelnen Packets.
Effektivität: Unknown
Beschreibung: Fügen Sie dem Protokoll eine angemessen dimensionierte Checksum hinzu, um sicherzustellen, dass empfangene Daten einfach validiert werden können, bevor sie geparst und verwendet werden.
Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass die im Protokolldesign vorgesehenen Checksums korrekt implementiert sind und jedem Message vor dem Versand hinzugefügt werden.
