CWE ID: 454
Name: External Initialization of Trusted Variables or Data Stores
Das Produkt initialisiert kritische interne Variablen oder Datenspeicher unter Verwendung von Eingaben, die von nicht vertrauenswürdigen Akteuren modifiziert werden können.
Ein Produkt-System sollte zögern, Variablen zu vertrauen, die außerhalb seiner Trust Boundary initialisiert wurden, insbesondere wenn diese von Benutzern initialisiert werden. Diese Variablen könnten fehlerhaft initialisiert worden sein. Sollte ein Angreifer die Möglichkeit haben, eine Variable zu initialisieren, kann er das Verhalten des anfälligen Systems beeinflussen.
Effektivität: Unknown
Beschreibung: Ein Produkt-System sollte zögern, Variablen zu vertrauen, die außerhalb seiner Trust Boundary initialisiert wurden. Stellen Sie sicher, dass eine angemessene Prüfung (z.B. Input Validation) durchgeführt wird, wenn Sie sich auf Eingaben außerhalb einer Trust Boundary verlassen.
Effektivität: Unknown
Beschreibung: Vermeiden Sie jede externe Kontrolle von Variablen. Falls erforderlich, beschränken Sie die Variablen, die modifiziert werden können, mithilfe einer Allowlist und verwenden Sie, wenn möglich, einen anderen Namespace oder eine andere Naming Convention.
