製品は、構造化されたメッセージやデータが、上流のコンポーネントから読み込まれたり、下流のコンポーネントに送信されたりする前に、整形式であること、および特定のセキュリティ特性が満たされていることを保証しないか、または誤って保証する。
メッセージに不正な形式があると、メッセージが正しく解釈されない可能性がある。
中和とは、入力(および出力)が期待に合致し、"安全 "であることを保証するあらゆるテクニックの抽象的な用語である。 これは以下のような方法で行うことができる:
この弱点は通常、製品がコマンドやクエリのような、他のプロセスが動作しなければならない制御メッセージを準備し、データとして意図された悪意のある入力が、代わりに制御プレーンに入ることができる場合に適用されます。しかし、この弱点は、常に制御の影響があるとは限らない、より一般的なケースにも適用されます。
The product does not ensure or incorrectly ensures that structured messages or data are well-formed and that certain security properties are met before being read from an upstream component or sent to a downstream component.
If a message is malformed, it may cause the message to be incorrectly interpreted.
Neutralization is an abstract term for any technique that ensures that input (and output) conforms with expectations and is "safe." This can be done by:
This weakness typically applies in cases where the product prepares a control message that another process must act on, such as a command or query, and malicious input that was intended as data, can enter the control plane instead. However, this weakness also applies to more general cases where there are not always control implications.