用户投稿
-用例和滥用案例(来源:https://en.wikipedia.org/wiki/Misuse_case)
用例(Use Case)
用例描述了一个或多个场景,这些场景表示参与者(用户,代理,系统或实体)如何与系统交互。用例最适合传达功能需求或从用户角度出发。用例可以用结构文本或图表表示。用例的标题可以以Subject + Verb的模式编写,例如,客户下订单。
滥用案例(Misuse Case)
相反,滥用案例通常从恶意或无意的用户的角度记录对功能的威胁。当用户使用功能时,开发人员会构建功能。用例或滥用案例通常不会记录开发人员的构建过程或工作。
人非圣贤孰能。开发人员构建带有错误的API并不少见。开发人员可能会为了系统监视目的而创建一个错误的API,但没有一个滥用案例,这描述了参与者与系统进行交互的步骤(事件和响应),这是有风险的。
SQL注入(SQL Injection)
黑客在登录表单中键入SQL表达式是一种典型的滥用情况。
-SQL注入(来源:PortSwigger)
路径/目录遍历(Path/Directory Traversal)
路径/目录遍历作为攻击非常依赖于相对路径。这是一个漏洞或指示器,会导致滥用案例,即用户使用相对路径在资源之间导航。
-资料来源:Paul Ionescu
Web参数篡改/操纵(Web Parameter Tampering/Manipulation)
允许客户通过输入URL进入产品列表的特定页面,这是一个糟糕的设计。如果用户输入了无效的页码怎么办?说-1或65535。
-什么是网址?
参考
.目录遍历
.远程文件路径遍历攻击带来乐趣和收益
.攻击克
.TRC技术讲座:目录遍历攻击与防御–第1部分
.Unix文件结构
.什么是网址?
.Web参数篡改
资料来源: Wentz Wu QOTD-20210319
微信扫一扫打赏
支付宝扫一扫打赏
