Insecure Design(不安全的设计)
这个是 OWASP 在今年新出的类别.
根据 OWASP 的说法,这一类着重于在设计与架构中的风险.来呼吁更多使用到威胁建模,安全设计模式与参考架构.
也就是说在程序设计的时候,避免无效的程序设置,暴露敏感数据.
其中著名的 CWE 中有
- CWE-209:产生的错误信息中包含敏感信息
- CWE-256:受保护的凭证不足
- CWE-502:信任边界冲突
- CWE-522:凭据保护不足
更多的 CWE 例子可以点击这里
我个人更倾向于是应用设计时的逻辑漏洞
以 CWE-209 为例
比方说 SQL 注入的错误回显
也就是说, SQL 查询报错的语句,返回显示界面
至于错误回显是怎么造成的,可以看我的博客文章里
再换个思路想
在一个登录界面,你尝试乱输入一个账号和密码
这个应用它只会返回
账户不存在
密码不正确
这就很可怕了
只要它没有爬虫限制
那么我就可以尝试爬下该应用整个所有账号
所以,现在绝大部分应用的登录,业务处理等会采取准确且模糊的说服(?
再说说 CWE-256
我们可以