CWE ID: 807
Name: Reliance on Untrusted Inputs in a Security Decision
Das Produkt verwendet einen Schutzmechanismus, der von der Existenz oder den Werten einer Eingabe abhängt. Diese Eingabe kann jedoch von einem nicht vertrauenswürdigen Akteur so modifiziert werden, dass der Schutzmechanismus umgangen wird.
Effektivität: Unknown
Beschreibung: Für alle Sicherheitsprüfungen, die clientseitig durchgeführt werden, ist sicherzustellen, dass diese Prüfungen serverseitig dupliziert werden, um CWE-602 zu vermeiden. Angreifer können die clientseitigen Prüfungen umgehen, indem sie Werte nach der Durchführung der Prüfungen modifizieren oder den Client so verändern, dass die clientseitigen Checks vollständig entfernt werden. Anschließend würden diese modifizierten Werte an den Server übermittelt.
Effektivität: Unknown
Beschreibung: Bei der Verwendung von PHP sollte die Anwendung so konfiguriert werden, dass register_globals nicht verwendet wird. Während der Implementierung ist die Anwendung so zu entwickeln, dass sie sich nicht auf diese Funktionalität stützt. Seien Sie jedoch vorsichtig bei der Implementierung einer register_globals-Emulation, die anfällig für Schwachstellen wie CWE-95, CWE-621 und ähnlichen Problemen sein könnte.
