• CWE-915: Improperly Controlled Modification of Dynamically-Determined Object Attributes

Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, die mehrere Attribute, Properties oder Felder angibt, die in einem Objekt initialisiert oder aktualisiert werden sollen. Es erfolgt jedoch keine angemessene Kontrolle darüber, welche Attribute modifiziert werden können.

CWE-915: Improperly Controlled Modification of Dynamically-Determined Object Attributes

CWE ID: 915
Name: Improperly Controlled Modification of Dynamically-Determined Object Attributes

Beschreibung

Das Produkt empfängt Eingaben von einer vorgelagerten Komponente, die mehrere Attribute, Properties oder Felder angibt, die in einem Objekt initialisiert oder aktualisiert werden sollen. Es erfolgt jedoch keine angemessene Kontrolle darüber, welche Attribute modifiziert werden können.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Nutzen Sie, sofern verfügbar, die Signing/Sealing-Funktionen der Programmiersprache, um sicherzustellen, dass deserialisierte Daten nicht kontaminiert wurden. Beispielsweise könnte ein hash-basierter Message Authentication Code (HMAC) verwendet werden, um die Integrität der Daten zu gewährleisten und Manipulationen auszuschließen.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Überprüfen Sie jegliche extern beeinflusste Eingaben anhand einer Allowlist interner Objektattribute oder -felder, die modifiziert werden dürfen.

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Überarbeiten Sie den Code so, dass Objektattribute oder -felder nicht dynamisch identifiziert werden müssen, und stellen Sie lediglich Getter/Setter-Funktionalität für die vorgesehenen Attribute bereit.