Als PO wil ik een strakkere specificatie van validatieregels voor input parameters

[CathyDingemanse]

...zodat provider input parameters beter kan valideren ( beter inputvalidatie) EN het injecteren van SQL of scripts in de request of het verhogen van de load op de server moeilijker/ bij voorkeur onmogelijk wordt.

Threat type:

• Spoofing. Voordoen als iemand anders
• Tampering. Modificeren van data (in transit)
• Repudiation. Verwijderen van audit log
• Information Disclosure. Toegang tot data waarvoor niet is geautoriseerd
• Denial of Service. Beperken toegang tot data
• Elevation of Privilege. Toegang tot data waarvoor niet is geautoriseerd

Threat: Te ruim gespecificeerde validatieregels voor input parameters De meeste string parameters (v1.3) accepteren ook niet-alfanummerieke karakters. Nummers als string parameters accepteren ook niet-nummerieke karakters. Dit maakt het mogelijk om SQL of scripts te injecteren in de request of om de load op de server te verhogen.

Countermeasures: Validatieregels strakker specificeren. Voorbeelden:

• reisdocumentnummer als pad parameter specificeren als een string van exact 9 karakters
• burgerservicenummer als queryparameter specificeren als een string van exact 9 cijfers

[MelvLee]

• [x] pattern toegevoegd
• [ ] scenarios toegevoegd
• [ ] fields scenarios toegevoegd