CWE ID: 912
Name: Hidden Functionality
Das Produkt enthält Funktionalität, die nicht dokumentiert, nicht Teil der Spezifikation und nicht über eine für die Benutzer oder Administratoren des Produkts offensichtliche Schnittstelle oder Kommandozeilenfolge zugänglich ist.
Verborgene Funktionalität kann viele Formen annehmen, beispielsweise absichtlich bösartigen Code, “Easter Eggs” mit zusätzlicher Funktionalität wie Spielen, oder developer-freundliche Abkürzungen, die Wartungs- oder Supportkosten reduzieren, wie beispielsweise hartkodierte Accounts. Aus Sicherheits-Perspektive kann sie, selbst wenn die Funktionalität nicht absichtlich bösartig oder schädlich ist, die Angriffsfläche des Produkts vergrößern und zusätzliche Schwachstellen freilegen, die über die durch die beabsichtigte Funktionalität bereits offengelegten hinausgehen. Selbst wenn sie nicht leicht zugänglich ist, könnte die verborgene Funktionalität für Angriffe nützlich sein, die den Kontrollfluss der Application modifizieren.
Effektivität: Unknown
Beschreibung: Verifizieren Sie stets die Integrität des installierten Produkts.
Effektivität: Unknown
Beschreibung: Führen Sie eine Code Coverage Analyse unter Verwendung von Live Testing durch und prüfen Sie anschließend sorgfältig jeden Code, der nicht abgedeckt ist.
