Вывод пользователю сообщения об ошибке - ожидаемый результат выполнения ПО, это не баг и не уязвимость.
В случае, если пользователь делает действие, которое не предусматривает логика ПО, например, в поле номер телефона вводит буквы, а нам надо прислать код подтверждения - ПО должно предупредить его, иначе он не получит свой код, следовательно, не получит ожидаемый результат. Валидации на то и созданы.
Уязвимостью в этом примере может служить, например, отсутствие рейт-лимита на код подтверждения. Зная номер телефона другого пользователя злоумышленник может выполнить неожидаемое поведение программы и аутентифицироваться в аккаунт другого пользователя, например, брутфорсом. Очевидно, что ПО не закладывает это как ожидаемый результат.
Вывод пользователю сообщения об ошибке - ожидаемый результат выполнения ПО, это не баг и не уязвимость.
В случае, если пользователь делает действие, которое не предусматривает логика ПО, например, в поле номер телефона вводит буквы, а нам надо прислать код подтверждения - ПО должно предупредить его, иначе он не получит свой код, следовательно, не получит ожидаемый результат. Валидации на то и созданы.
Уязвимостью в этом примере может служить, например, отсутствие рейт-лимита на код подтверждения. Зная номер телефона другого пользователя злоумышленник может выполнить неожидаемое поведение программы и аутентифицироваться в аккаунт другого пользователя, например, брутфорсом. Очевидно, что ПО не закладывает это как ожидаемый результат.