• CWE-405: Asymmetric Resource Consumption (Amplification)

Das Produkt kontrolliert Situationen, in denen ein Angreifer dazu bringen kann, dass es übermäßige Ressourcen verbraucht oder produziert, ohne dass der Angreifer eine äquivalente Arbeit investieren oder eine Autorisierung nachweisen muss. Dies bedeutet, dass der Einfluss des Angreifers “asymmetric” ist.

CWE-405: Asymmetric Resource Consumption (Amplification)

CWE ID: 405
Name: Asymmetric Resource Consumption (Amplification)

Beschreibung

Das Produkt kontrolliert Situationen, in denen ein Angreifer dazu bringen kann, dass es übermäßige Ressourcen verbraucht oder produziert, ohne dass der Angreifer eine äquivalente Arbeit investieren oder eine Autorisierung nachweisen muss. Dies bedeutet, dass der Einfluss des Angreifers “asymmetric” ist.

Erweiterte Beschreibung

Dies kann zu Leistungseinbußen aufgrund einer “Amplification” des Ressourcenverbrauchs führen, typischerweise in einer nicht-linearen Weise. Die Situation verschärft sich, wenn das Produkt bösartigen Benutzern oder Angreifern erlaubt, mehr Ressourcen zu verbrauchen, als ihr Zugriffsniveau erlaubt.

Risikominderungsmaßnahmen

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Eine Anwendung muss dem Client Ressourcen in Übereinstimmung mit dessen Zugriffsebene zur Verfügung stellen.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Eine Anwendung muss jederzeit den Überblick über zugewiesene Ressourcen behalten und deren Nutzung angemessen messen (meter).

Maßnahme (System Configuration)

Effektivität: High
Beschreibung: Erwägen Sie, ressourcenintensive Algorithmen auf der Serverseite zu deaktivieren, wie beispielsweise den Diffie-Hellman Key Exchange. Notizen: Geschäftliche Anforderungen können die Deaktivierung ressourcenintensiver Algorithmen verhindern.