可疑输入转换(反映)
描述:可疑输入转换(反映)
当应用程序接收用户输入,以某种方式进行转换,然后对结果进行进一步处理时,就会出现可疑输入转换。可能导致问题的转换类型包括解码通用格式,例如UTF-8和URL编码或逃生序列的处理,例如Backsslash Excaping。
执行这些输入转换本身并不构成脆弱性,而是可能导致与其他应用程序行为结合的问题。如果输入过滤器应用后,攻击者可能能够通过适当地编码其有效载荷来绕过输入过滤器。或者,攻击者可能能够通过与多字符编码或逃生序列的开始来完成输入的其他数据,这些数据将消耗以下数据的启动。
修复:可疑输入转换(反映)
回顾所应用的转换,以了解应用功能的性质,以及是否引起与绕过输入过滤器或角色消耗有关的任何漏洞。
参考
脆弱性分类
典型的严重程度
信息
类型索引(HEX)
0x00400D00
类型索引(十进制)
4197632