Pull to refresh
0
0
Send message

Вывод пользователю сообщения об ошибке - ожидаемый результат выполнения ПО, это не баг и не уязвимость.


В случае, если пользователь делает действие, которое не предусматривает логика ПО, например, в поле номер телефона вводит буквы, а нам надо прислать код подтверждения - ПО должно предупредить его, иначе он не получит свой код, следовательно, не получит ожидаемый результат. Валидации на то и созданы.


Уязвимостью в этом примере может служить, например, отсутствие рейт-лимита на код подтверждения. Зная номер телефона другого пользователя злоумышленник может выполнить неожидаемое поведение программы и аутентифицироваться в аккаунт другого пользователя, например, брутфорсом. Очевидно, что ПО не закладывает это как ожидаемый результат.


Information

Rating
Does not participate
Registered
Activity