..zodat provider input parameters beter kan valideren ( beter inputvalidatie)
EN het injecteren van SQL of scripts in de request of het verhogen van de load op de server moeilijker/ bij voorkeur onmogelijk wordt.
Threat type:
Spoofing. Voordoen als iemand anders
Tampering. Modificeren van data (in transit)
Repudiation. Verwijderen van audit log
Information Disclosure. Toegang tot data waarvoor niet is geautoriseerd
Denial of Service. Beperken toegang tot data
Elevation of Privilege. Toegang tot data waarvoor niet is geautoriseerd
Threat:
Te ruim gespecificeerde validatieregels voor input parameters
De meeste string parameters (v1.3) accepteren ook niet-alfanummerieke karakters. Nummers als string parameters accepteren ook niet-nummerieke karakters. Dit maakt het mogelijk om SQL of scripts te injecteren in de request of om de load op de server te verhogen.
..zodat provider input parameters beter kan valideren ( beter inputvalidatie) EN het injecteren van SQL of scripts in de request of het verhogen van de load op de server moeilijker/ bij voorkeur onmogelijk wordt.
Threat type:
Threat: Te ruim gespecificeerde validatieregels voor input parameters De meeste string parameters (v1.3) accepteren ook niet-alfanummerieke karakters. Nummers als string parameters accepteren ook niet-nummerieke karakters. Dit maakt het mogelijk om SQL of scripts te injecteren in de request of om de load op de server te verhogen.
Countermeasures: Validatieregels strakker specificeren. Voorbeelden: