...zodat de client de output beter kan valideren (betere outputvalidatie)
EN de kans op het hacken van de client als gevolg van een server hack kleiner wordt.
Threat type:
Spoofing. Voordoen als iemand anders
Tampering. Modificeren van data (in transit)
Repudiation. Verwijderen van audit log
Information Disclosure. Toegang tot data waarvoor niet is geautoriseerd
Denial of Service. Beperken toegang tot data
Elevation of Privilege. Toegang tot data waarvoor niet is geautoriseerd
Threat:
Te ruim gespecificeerde validatieregels voor eigenschappen van personen in de payload
Veel definities zijn niet-alfanummeriek. Nummers zijn soms ook niet-nummerieke karakters. Voorbeelden:
Dit maakt het mogelijk om SQL of scripts te injecteren in de payload van de response. Dit maakt bijvoorbeeld cross site scripting mogelijk, waarbij de client naar een andere site wordt geleid door bijvoorbeeld javascript in strings te accepteren.
Countermeasures
De specificatie moet clients de mogelijkheid bieden om de output zo veel mogelijk te valideren, door de validatieregels voor de response strakker te specificeren.
...zodat de client de output beter kan valideren (betere outputvalidatie) EN de kans op het hacken van de client als gevolg van een server hack kleiner wordt.
Threat type:
Threat: Te ruim gespecificeerde validatieregels voor eigenschappen van personen in de payload Veel definities zijn niet-alfanummeriek. Nummers zijn soms ook niet-nummerieke karakters. Voorbeelden: Dit maakt het mogelijk om SQL of scripts te injecteren in de payload van de response. Dit maakt bijvoorbeeld cross site scripting mogelijk, waarbij de client naar een andere site wordt geleid door bijvoorbeeld javascript in strings te accepteren.
Countermeasures De specificatie moet clients de mogelijkheid bieden om de output zo veel mogelijk te valideren, door de validatieregels voor de response strakker te specificeren.
Acceptatiecriteria
Definition of done