CWE ID: 551
Name: Incorrect Behavior Order: Authorization Before Parsing and Canonicalization
Sollte ein Webserver angefragte URLs nicht vollständig parsen, bevor er sie auf Authorisierung prüft, kann es einem Angreifer möglicherweise gelingen, die Authorisierungsschutz zu umgehen.
Beispielsweise bedeuten die Zeichenketten /./ und / beide das aktuelle Verzeichnis. Wenn /SomeDirectory ein geschütztes Verzeichnis ist und ein Angreifer /./SomeDirectory anfordert, kann dieser möglicherweise Zugriff auf die Ressource erlangen, falls /./ nicht in / umgewandelt wird, bevor die Authorisierung geprüft wird.
Effektivität: Unknown
Beschreibung: URL-Eingaben sollten dekodiert und in die aktuelle interne Repräsentation der Anwendung kanonisiert werden, bevor sie validiert und für die Authorisierung verarbeitet werden. Stellen Sie sicher, dass Ihre Anwendung dieselbe Eingabe nicht doppelt dekodiert. Solche Fehler könnten dazu verwendet werden, Allowlist-Schemata zu umgehen, indem gefährliche Eingaben nach der Prüfung eingeführt werden.
