• CWE-914: Improper Control of Dynamically-Identified Variables

Das Produkt schränkt das Lesen von oder das Schreiben in dynamisch identifizierte Variablen nicht ausreichend ein.

CWE-914: Improper Control of Dynamically-Identified Variables

CWE ID: 914
Name: Improper Control of Dynamically-Identified Variables

Beschreibung

Das Produkt schränkt das Lesen von oder das Schreiben in dynamisch identifizierte Variablen nicht ausreichend ein.

Erweiterte Beschreibung

Viele Programmiersprachen bieten leistungsstarke Features, die es dem Programmierer ermöglichen, auf beliebige Variablen zuzugreifen, die durch eine Eingabezeichenkette (input string) spezifiziert sind. Während diese Features erhebliche Flexibilität und eine Reduktion der Entwicklungszeit bieten können, können sie äußerst gefährlich werden, wenn Angreifer unbeabsichtigte Variablen modifizieren können, die Sicherheitsimplikationen haben.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Für jede von außen beeinflusste Eingabe sollte diese gegen eine Allowlist interner Programmvariablen geprüft werden, die modifiziert werden dürfen.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Überarbeite den Code so, dass interne Programmvariablen nicht dynamisch identifiziert werden müssen.