OWASP TOP 10 2021 A04-Insecure_Design
這是在OWASP TOP 10 2021才獨立出來的一個新類別,主要是指那些系統架構、程式邏輯、業務流程上沒有設計得足夠嚴謹,以致讓攻擊者有漏洞可鑽。
我想到的一個例子是以前看到的笑話(也有可能是真的)
有個網站在註冊會員時,會檢查你的密碼跟別人是否重複,當你的密碼跟人重複時,則跳出提示告知:此密碼與xxxx重複,請更換一組新的密碼...
從OWASP的說明頁上可以看到,這個類別的弱點,最常見的有以下四種:
CWE-209: Generation of Error Message Containing Sensitive Information
CWE-256: Unprotected Storage of Credentials
CWE-501: Trust Boundary Violation
CWE-522: Insufficiently Protected Credentials
剛剛提到的例子則不再上述四種當中,是屬於CWE-840 Business Logic Errors