CWE ID: 41
Name: Improper Resolution of Path Equivalence
Das Produkt ist anfällig für die Offenlegung von Dateisysteminhalten durch Path Equivalence. Path Equivalence beinhaltet die Verwendung spezieller Zeichen in Dateinamen und Verzeichnisnamen. Die damit verbundenen Manipulationen sind darauf ausgelegt, mehrere Namen für dasselbe Objekt zu generieren.
Path Equivalence wird typischerweise eingesetzt, um Zugriffskontrollen zu umgehen, die mit einem unvollständigen Satz von Dateinamen- oder Dateipfadrepräsentationen ausgedrückt werden. Dies unterscheidet sich von Path Traversal, bei dem die Manipulationen durchgeführt werden, um einen Namen für ein anderes Objekt zu generieren.
Effektivität: Unknown
Beschreibung: Die Verwendung und Spezifikation einer Output-Kodierung, die vom nachgelagerten Komponenten gelesen werden kann, ist unerlässlich. Häufig verwendete Kodierungen sind ISO-8859-1, UTF-7 und UTF-8. Wenn keine Kodierung spezifiziert wird, kann eine nachgelagerte Komponente eine andere Kodierung wählen, entweder durch Annahme einer Standardkodierung oder durch automatische Inferenz, welche Kodierung verwendet wird – was zu Fehlinterpretationen führen kann. Bei inkonsistenten Kodierungen kann die nachgelagerte Komponente bestimmte Zeichen oder Byte-Sequenzen fälschlicherweise als Sonderzeichen behandeln, obwohl sie im ursprünglichen Encoding keine Sonderzeichen sind. Angreifer können diese Diskrepanz dann ausnutzen, um Injection-Angriffe durchzuführen und sogar Schutzmechanismen zu umgehen, die davon ausgehen, dass die nachgelagerte Komponente ebenfalls das ursprüngliche Encoding verwendet.
Effektivität: Unknown
Beschreibung: Eingaben sollten vor der Validierung (CWE-180) in die aktuelle interne Repräsentation der Anwendung dekodiert und kanonisiert werden. Stellen Sie sicher, dass die Anwendung dieselbe Eingabe nicht zweimal dekodiert (CWE-174). Solche Fehler könnten dazu verwendet werden, Allowlist-Validierungsschemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.
