iT邦幫忙

2024 iThome 鐵人賽

DAY 14
0
Security

WEB仔也要懂資安嗎系列 第 14

14/Insecure Design: Business Logic Errors

  • 分享至 

  • xImage
  •  

OWASP TOP 10 2021 A04-Insecure_Design
這是在OWASP TOP 10 2021才獨立出來的一個新類別,主要是指那些系統架構、程式邏輯、業務流程上沒有設計得足夠嚴謹,以致讓攻擊者有漏洞可鑽。

我想到的一個例子是以前看到的笑話(也有可能是真的)
有個網站在註冊會員時,會檢查你的密碼跟別人是否重複,當你的密碼跟人重複時,則跳出提示告知:此密碼與xxxx重複,請更換一組新的密碼...

從OWASP的說明頁上可以看到,這個類別的弱點,最常見的有以下四種:
CWE-209: Generation of Error Message Containing Sensitive Information
CWE-256: Unprotected Storage of Credentials
CWE-501: Trust Boundary Violation
CWE-522: Insufficiently Protected Credentials

剛剛提到的例子則不再上述四種當中,是屬於CWE-840 Business Logic Errors


上一篇
13/Cryptographic Failures
下一篇
15/Insecure Design: Generation of Error Message Containing Sensitive Information
系列文
WEB仔也要懂資安嗎30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言