製品が他のコンポーネントと通信するために構造化されたメッセージを準備するが、データのエンコードまたはエスケープが欠落しているか、正しく行われていない。その結果、意図したメッセージの構造が保持されない。
不適切なエンコードやエスケープにより、攻撃者は別のコンポーネントに送信されるコマンドを変更し、代わりに悪意のあるコマンドを挿入することができる。
ほとんどの製品は、クエリーやコマンドなど、コンポーネント間の通信に構造化メッセージを使用する特定のプロトコルに従います。これらの構造化メッセージには、メタデータや制御情報が散りばめられた生データが含まれることがある。例えば、"GET /index.html HTTP/1.1 "は、単一の引数("/index.html")を持つコマンド("GET")と、どのプロトコルのバージョンが使われているかについてのメタデータ("HTTP/1.1")を含む構造化メッセージです。
もしアプリケーションが攻撃者から提供された入力を使って、適切にエンコードやエスケープを行わずに構造化メッセージを構築すると、攻撃者はデータを制御情報やメタデータとして解釈させる特殊文字を挿入する可能性があります。その結果、出力を受信したコンポーネントは間違った操作を実行したり、データを正しく解釈できなくなります。
The product prepares a structured message for communication with another component, but encoding or escaping of the data is either missing or done incorrectly. As a result, the intended structure of the message is not preserved.
Improper encoding or escaping can allow attackers to change the commands that are sent to another component, inserting malicious commands instead.
Most products follow a certain protocol that uses structured messages for communication between components, such as queries or commands. These structured messages can contain raw data interspersed with metadata or control information. For example, "GET /index.html HTTP/1.1" is a structured message containing a command ("GET") with a single argument ("/index.html") and metadata about which protocol version is being used ("HTTP/1.1").
If an application uses attacker-supplied inputs to construct a structured message without properly encoding or escaping, then the attacker could insert special characters that will cause the data to be interpreted as control information or metadata. Consequently, the component that receives the output will perform the wrong operations, or otherwise interpret the data incorrectly.