Unrestricted Resource Consumption

استهلاك الموارد غير المقيد

what is:

  • يُطلق على هذا في السابق اسم نقص Resources and Rate Limiting ، وهو يتعلق حقًا high volume types of attacks-mass data harvesting وقد يؤدي هذا ليس فقط إلىhuge amounts of data loss، بل وأيضًا إلى أشياء مثل رفض الخدمة والتأثير التشغيلي أيضًا

Example:

  • rate controls تشمل الأمثلة هنا الضوابط المفقودة أو غير الكافية ل

  • القدرة على حصاد harvest data التي تتجاوز ما يجب أن يتطلبه التطبيق

  • على سبيل المثال ليست هناك حاجة للمستخدم للاستعلام ألف مرة عندما لن يتمكن المستخدم العادي من الوصول إليه إلا مرة أو مرتين

  • Lack of time outs or memory limits, number of files or upload sizes مما يتيح عمليات مفرطة في طلب واحد that can really overload your server from an operational standpoint and also lead to the excessive data exposure.

  • يعد إرجاع كميات هائلة of records في طلب واحد مثالاً آخر

Prevention:

  • وضع ضوابط حركة المرور، traffic controls, whether it's in a web application firewall or an API gateway

  • you should also implement logic within the application itself

  • إذا كان لديك إمكانية إعادة تعيين الحساب، فسيحاول مستخدم شرعي تقديم رمز إعادة تعيين مرة أو مرتين أو ربما خمس مرات. لن يحاول أحد ألف مرة. لذا، بغض النظر عما إذا كان شخص ما يقوم rotating IP addresses or cleaning their cookies out الخاصة به، فلن يحاول أي مستخدم شرعي ألف مرة. وعلى هذا، حتى لو نجحت هذه الهجمات في اختراق جهاز التحكم في حركة المرور، فيجب أن يأخذ your application logic ذلك في الاعتبار ويعطل رمز إعادة التعيين هذا بعد عدد معين من المحاولات

PreviousBroken AuthenticationNextBroken Object Property Level Authorization

Last updated