cwe - 837:不当的执行一个单独的、独特的作用
 描述
产品要求演员应该只能执行一个动作一次,或只有一个独特的行动,但产品不执行或执行不当这个限制。
扩展描述
在各种应用程序中,用户只将执行某一动作一次,如投票,要求退款,或购买。当这个限制不执行,有时这可能有安全隐患。例如,在一个投票程序,攻击者可以尝试“东西投票箱”多次投票。如果这些选票被分别计算,那么攻击者可以直接影响谁赢得选票。这可能产生重大的业务影响取决于产品的目的。
的关系
常见的后果
 这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
| 范围 |
影响 |
可能性 |
其他
|
攻击者可以获得优于其他用户通过执行操作多次,或影响产品的正确性。 |
|
观察到的例子
| 参考 |
描述 |
|
|
票务代理web应用程序允许用户锁定座位不止一次。 |
|
|
CMS允许人们下载速度由不止一次投票。 |
|
|
轮询软件允许人们通过设置cookie不止一次投票。 |
|
|
链:缺乏验证的关键挑战游戏允许玩家注册多次和锁其他玩家的游戏。 |
|
|
库特性允许攻击者多次检出同一个电子书,防止其他用户访问副本的电子书。 |
|
|
协议实现允许远程攻击者造成拒绝服务(呼叫号码疲惫)启动许多消息交换。 |
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
