• CWE-652: Improper Neutralization of Data within XQuery Expressions ('XQuery Injection')

Das Produkt verwendet externe Eingaben, um dynamisch einen XQuery-Ausdruck zur Datenabfrage aus einer XML-Datenbank zu erstellen, neutralisiert diese Eingaben jedoch nicht oder neutralisiert sie fehlerhaft. Dies ermöglicht es einem Angreifer, die Struktur der Query zu kontrollieren.

CWE-652: Improper Neutralization of Data within XQuery Expressions ('XQuery Injection')

CWE ID: 652
Name: Improper Neutralization of Data within XQuery Expressions (‘XQuery Injection’)

Beschreibung

Das Produkt verwendet externe Eingaben, um dynamisch einen XQuery-Ausdruck zur Datenabfrage aus einer XML-Datenbank zu erstellen, neutralisiert diese Eingaben jedoch nicht oder neutralisiert sie fehlerhaft. Dies ermöglicht es einem Angreifer, die Struktur der Query zu kontrollieren.

Erweiterte Beschreibung

Die Nettoauswirkung ist, dass der Angreifer die Kontrolle über die aus der XML-Datenbank ausgewählten Informationen erlangt und diese Fähigkeit nutzen kann, um den Anwendungsablauf zu steuern, die Logik zu modifizieren, unautorisierte Daten abzurufen oder wichtige Sicherheitsprüfungen (z.B. Authentication) zu umgehen.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Verwenden Sie parametrisierte Queries. Dies hilft, eine Trennung zwischen Data Plane und Control Plane sicherzustellen.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Validieren Sie Benutzereingaben korrekt. Verwerfen Sie Daten, wo angebracht, filtern Sie, wo angebracht, und escapen Sie, wo angebracht. Stellen Sie sicher, dass Eingaben, die in XQL Queries verwendet werden, in diesem Kontext sicher sind.