CWE ID: 837
Name: Improper Enforcement of a Single, Unique Action
Das Produkt verlangt, dass ein Akteur eine Aktion nur einmal ausführen kann oder nur eine eindeutige Aktion durchführen darf. Allerdings erzwingt das Produkt diese Einschränkung entweder nicht oder erzwingt sie fehlerhaft.
In verschiedenen Anwendungen wird von einem Benutzer lediglich erwartet, dass er eine bestimmte Aktion einmal durchführt, beispielsweise eine Abstimmung, eine Rückerstattung anfordern oder einen Kauf tätigen. Wenn diese Beschränkung nicht durchgesetzt wird, kann dies gelegentlich Sicherheitsimplikationen haben. Beispielsweise könnte ein Angreifer in einer Abstimmungsanwendung versuchen, die Wahlurne zu “stuffen”, indem er mehrfach abstimmt. Wenn diese Stimmen separat gezählt werden, kann der Angreifer direkt beeinflussen, wer die Wahl gewinnt. Dies kann je nach Zweck des Produkts erhebliche Auswirkungen auf das Geschäft haben.
