ブログ IP住所検索
CWE一覧に戻る
CWE-184

不許可入力の不完全なリスト

Incomplete List of Disallowed Inputs
脆弱性 レビュー中
日本語説明
JA

この製品は、ポリシーによって許可されない入力(または入力の特性)のリストに依存する保護メカニズムを実装しているか、そうでなければ、追加の処理が行われる前に中和するために他のアクションを必要とするが、そのリストは不完全である。

原文 (English)
EN

The product implements a protection mechanism that relies on a list of inputs (or properties of inputs) that are not allowed by policy or otherwise require other action to neutralize before additional processing takes place, but the list is incomplete.

関連する脆弱性
CWE-693 保護機構の故障 CWE-1023 因子が欠落した不完全な比較 CWE-79 ウェブページ生成時の入力の不適切な中和(「クロスサイト・スクリプティング) CWE-78 OSコマンドで使用される特殊要素の不適切な中和(「OSコマンド・インジェクション」)。 CWE-434 危険なタイプのファイルの無制限アップロード CWE-98 PHP プログラムの Include/Require ステートメントにおけるファイル名の不適切な制御 ('PHP Remote File Inclusion')
想定される影響
Scope: Access Control / Impact: Bypass Protection Mechanism
対策・緩和策
Do not rely exclusively on detecting disallowed inputs. There are too many variants to encode a character, especially when different environments are used, so there is a high likelihood of missing some variants. Only use detection of disallowed inputs as a mechanism for detecting suspicious activity. Ensure that you are using other protection mechanisms that only identify "good" input - such as lists of allowed inputs - and ensure that you are properly encoding your outputs.
外部リンク
MITRE公式ページ — CWE-184