CWE ID: 641
Name: Improper Restriction of Names for Files and Other Resources
Das Produkt konstruiert den Namen einer Datei oder einer anderen Ressource unter Verwendung von Eingaben von einer vorgelagerten Komponente, jedoch ohne Einschränkungen oder mit fehlerhaften Einschränkungen des resultierenden Namens.
Dies kann zu resultierenden Schwachstellen führen. Beispielsweise können Namen dieser Ressourcen scripting characters enthalten, was dazu führen könnte, dass ein script im Browser des Clients ausgeführt wird, falls die Anwendung den Namen der Ressource auf einer dynamisch generierten Webseite anzeigt. Alternativ kann ein speziell präparierter Name, wenn die Ressourcen von einem application parser verarbeitet werden, eine interne Schwachstelle des Parsers ausnutzen und potenziell die Ausführung von beliebigem Code auf der Servermaschine bewirken. Die Probleme variieren je nach Kontext der Nutzung solcher fehlerhafter Ressourcennamen und ob Schwachstellen in der Zieltechnologie vorhanden sind oder Annahmen getroffen werden, die die Codeausführung ermöglichen.
Effektivität: Unknown
Beschreibung: Erlaube Benutzern nicht, die Namen von serverseitig verwendeten Ressourcen zu kontrollieren.
Effektivität: Unknown
Beschreibung: Führe eine allowlist-Validierung der Eingaben an Eintrittspunkten und vor dem Konsum von Ressourcen durch. Verwerfe ungültige Dateinamen anstatt zu versuchen, diese zu bereinigen.
Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass Technologien, die Ressourcen verarbeiten, nicht anfällig für Schwachstellen sind (z.B. buffer overflow, format string), sodass keine Codeausführung durch einen fehlerhaften Ressourcennamen ermöglicht wird.
