 总结
这一类的弱点识别一些潜在的问题,通常允许攻击者控制应用程序的业务逻辑。错误在整个应用程序业务逻辑可能是毁灭性的。他们可以自动很难找到,因为他们通常涉及合法使用的应用程序的功能。然而,许多业务逻辑错误可以展览模式,类似于易于理解的实现和设计的弱点。
会员
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
699年 |
软件开发 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1348年 |
OWASP 2021年十大类别A04:2021——不安全设计 |
| HasMember |
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
283年 |
未经证实的所有权 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
288年 |
认证绕过使用另一种路径或通道 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
639年 |
授权旁路通过用户控制的关键 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
640年 |
弱密码恢复机制忘记密码 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
708年 |
不正确的所有权转让 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
770年 |
资源配置没有限制或节流 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
826年 |
预期寿命期间过早释放资源 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
837年 |
不当的执行一个独特的行动 |
| HasMember |
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。 |
841年 |
不当行为的执行工作流 |
笔记
术语
“业务逻辑”一词通常用来描述问题,需要特定领域的知识或“业务规则”来确定缺陷或漏洞,而不是合法行为。这些问题可能不是很容易被通过自动代码分析,因为相关的操作不会产生明显的错误或未定义的行为在代码级别。然而,许多这样的“业务逻辑”的问题可以理解为实例输入验证等弱点,访问控制、数值计算、操作顺序等。
研究的差距
业务逻辑缺陷的分类已超,尽管开发业务缺陷经常发生在实际系统中,和许多应用脆弱性研究人员调查。最大的焦点是web应用程序。这些问题有争论在社区内是否代表尤其是新概念,或者如果他们是众所周知的原则的变化。
许多业务逻辑缺陷似乎是面向业务流程、应用程序流,和序列的行为,是不像弱点CWE的优秀代表输入验证、内存管理等。
引用
|
总结
