CWE ID: 76
Name: Improper Neutralization of Equivalent Special Elements
Das Produkt neutralisiert bestimmte spezielle Elemente korrekt, neutralisiert aber äquivalente spezielle Elemente fehlerhaft.
Das Produkt verfügt möglicherweise über eine feste Liste spezieller Zeichen, die es für vollständig hält. Es können jedoch alternative Kodierungen oder Darstellungen existieren, die ebenfalls die gleiche Bedeutung haben. Beispielsweise könnte das Produkt einen führenden Schrägstrich (/) filtern, um absolute Pfadnamen zu verhindern, jedoch ohne eine Tilde (~) gefolgt von einem Benutzernamen zu berücksichtigen, die auf einigen *nix-Systemen zu einem absoluten Pfadnamen erweitert werden könnte. Alternativ könnte das Produkt einen gefährlichen “-e”-Command-Line-Switch beim Aufruf eines externen Programms filtern, jedoch ohne Alternativen wie “–exec” oder andere Switches mit der gleichen Semantik zu berücksichtigen.
Effektivität: Unknown
Beschreibung: Es könnten Programmiersprachen und unterstützende Technologien ausgewählt werden, die nicht von diesen Problemen betroffen sind.
Effektivität: Unknown
Beschreibung: Nutzen Sie eine angemessene Mischung aus allowlist und denylist Parsing, um äquivalente spezielle Element-Syntax aus allen Eingaben herauszufiltern.
