CWE ID: 433
Name: Unparsed Raw Web Content Delivery
Das Produkt speichert Rohdaten oder unterstützenden Code unterhalb des Web-Document-Root mit einer Dateiendung, die vom Server nicht spezifisch behandelt wird.
Wenn Code in einer Datei mit einer Dateiendung wie “.inc” oder “.pl” gespeichert wird und der Webserver keinen Handler für diese Endung besitzt, sendet der Server die Datei wahrscheinlich direkt an den Requeststeller, ohne die erwartete Vorverarbeitung. Enthält diese Datei sensible Informationen wie Datenbank-Credentials, kann dies es einem Angreifer ermöglichen, die Anwendung oder zugehörige Komponenten zu kompromittieren.
Effektivität: Unknown
Beschreibung: Führen Sie vor der Interpretation von Dateien eine Typüberprüfung durch.
Effektivität: Unknown
Beschreibung: Speichern Sie sensible Informationen nicht in Dateien, die möglicherweise falsch interpretiert werden können. Vermeiden Sie die Ablage von credentials, keys, oder anderer vertraulicher Daten in Formaten, die anfällig für eine fehlerhafte parsing oder injection sein könnten. Eine sorgfältige validation der Dateiformate und Inhalte ist essentiell, um potenzielle Sicherheitslücken zu vermeiden.
