• CWE-770: Allocation of Resources Without Limits or Throttling

Das Produkt weist eine wiederverwendbare Ressource oder eine Gruppe von Ressourcen im Namen eines Actors zu, ohne dabei Beschränkungen hinsichtlich der Größe oder Anzahl der zugeordneten Ressourcen zu erzwingen, was einen Verstoß gegen die beabsichtigte Security Policy für diesen Actor darstellt.

CWE-770: Allocation of Resources Without Limits or Throttling

CWE ID: 770
Name: Allocation of Resources Without Limits or Throttling

Beschreibung

Das Produkt weist eine wiederverwendbare Ressource oder eine Gruppe von Ressourcen im Namen eines Actors zu, ohne dabei Beschränkungen hinsichtlich der Größe oder Anzahl der zugeordneten Ressourcen zu erzwingen, was einen Verstoß gegen die beabsichtigte Security Policy für diesen Actor darstellt.

Risikominderungsmaßnahmen

Maßnahme (Requirements)

Effektivität: Unknown
Beschreibung: Definieren Sie klar die minimalen und maximalen Erwartungen bezüglich der Capabilities und legen Sie fest, welche Verhaltensweisen akzeptabel sind, wenn die Resource Allocation ihre Grenzen erreicht.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Begrenzen Sie die Menge der Ressourcen, die für nicht-privilegierte Benutzer zugänglich sind. Implementieren Sie pro-Benutzer-Limits für Ressourcen. Ermöglichen Sie dem Systemadministrator, diese Limits zu definieren. Achten Sie dabei sorgfältig darauf, CWE-410 zu vermeiden.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Integrieren Sie Drosselungsmethoden (throttling mechanisms) in die Systemarchitektur. Der effektivste Schutz besteht darin, die Menge der Ressourcen zu begrenzen, die ein unautorisierter Benutzer verbrauchen kann. Ein robustes Authentifizierungs- und Zugriffskontrollmodell hilft, solche Angriffe von vornherein zu verhindern, und unterstützt den Administrator bei der Identifizierung der Verursacher. Die Login-Anwendung sollte gegen DoS-Angriffe so weit wie möglich geschützt werden. Die Begrenzung des Datenbankzugriffs, beispielsweise durch das Cachen von Result Sets, kann dazu beitragen, den verbrauchten Ressourcen zu minimieren. Um das Potenzial für einen DoS-Angriff weiter zu begrenzen, sollten Sie die Rate der von Benutzern empfangenen Anfragen protokollieren und Anfragen blockieren, die einen definierten Raten-Threshold überschreiten.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Stellen Sie für alle Sicherheitsprüfungen, die clientseitig durchgeführt werden, sicher, dass diese auch serverseitig dupliziert werden, um CWE-602 zu vermeiden. Angreifer können clientseitige Prüfungen umgehen, indem sie Werte nach der Durchführung der Prüfungen modifizieren oder den Client so verändern, dass die clientseitigen Prüfungen vollständig entfernt werden. Anschließend würden diese modifizierten Werte an den Server übermittelt.

Maßnahme (Architecture and Design)

Effektivität: Unknown
Beschreibung: Stellen Sie sicher, dass Protokolle spezifische Größenbeschränkungen haben.