Skip to content

Commit d21dbc5

Browse files
PauloASilvaPauloASilva
committed
Merge branch 'develop' into PR-50
2 parents 13a0d1a + 61627b2 commit d21dbc5

18 files changed

+6
-6
lines changed

2019/ar/dist/owasp-api-security-top-10-ar.odt

-4.3 KB
Binary file not shown.

2019/ar/dist/owasp-api-security-top-10-ar.pdf

-63.3 KB
Binary file not shown.

2019/ar/src/0xa4-lack-of-resources-and-rate-limiting.md

Lines changed: 1 addition & 1 deletion
Original file line numberDiff line numberDiff line change
@@ -32,7 +32,7 @@
3232

3333
## السيناريو الثاني :
3434

35-
يقوم التطبيق بعرض المستخدمين بحد اقصى 100 مستخدم في كل صفحة من خلال ارسال طلب الى `/api/users?page=1&size=100`، مما قد يمكن المهاجم من تغير القيمة الى 200000 في عدد أسماء المستخدمين المعروضة في صفحة واحد مما يسبب في حدوث مشكلات في أداة قاعدة البيانات وفي الوقت نفسة تصبح واجهة برمجة التطبيقات غير متاحة وغير قادرة على التعامل مع الطلبات الأخرى ( هجمة حجب الخدمة DOS ) ويمكن استخدام نفس السيناريو لاستعراض الأخطاء او لاستغلال بعض عمليات Integer Overflow او Buffer Overflow.
35+
يقوم التطبيق بعرض المستخدمين بحد اقصى 200 مستخدم في كل صفحة من خلال ارسال طلب الى `/api/users?page=1&size=200`، مما قد يمكن المهاجم من تغير القيمة الى 200000 في عدد أسماء المستخدمين المعروضة في صفحة واحد مما يسبب في حدوث مشكلات في أداة قاعدة البيانات وفي الوقت نفسة تصبح واجهة برمجة التطبيقات غير متاحة وغير قادرة على التعامل مع الطلبات الأخرى ( هجمة حجب الخدمة DOS ) ويمكن استخدام نفس السيناريو لاستعراض الأخطاء او لاستغلال بعض عمليات Integer Overflow او Buffer Overflow.
3636

3737
### كيف أمنع هذه الثغرة؟
3838

2019/en/dist/owasp-api-security-top-10.odt

-529 Bytes
Binary file not shown.

2019/en/dist/owasp-api-security-top-10.pdf

-37.7 KB
Binary file not shown.

2019/en/src/0xa4-lack-of-resources-and-rate-limiting.md

Lines changed: 1 addition & 1 deletion
Original file line numberDiff line numberDiff line change
@@ -35,7 +35,7 @@ during the creation of thumbnails and the API becomes unresponsive.
3535

3636
We have an application that contains the users' list on a UI with a limit of
3737
`200` users per page. The users' list is retrieved from the server using the
38-
following query: `/api/users?page=1&size=100`. An attacker changes the `size`
38+
following query: `/api/users?page=1&size=200`. An attacker changes the `size`
3939
parameter to `200 000`, causing performance issues on the database. Meanwhile,
4040
the API becomes unresponsive and is unable to handle further requests from this
4141
or any other clients (aka DoS).

2019/fr/dist/owasp-api-security-top-10.odt

-1.09 KB
Binary file not shown.

2019/fr/dist/owasp-api-security-top-10.pdf

2.71 KB
Binary file not shown.

2019/fr/src/0xa4-lack-of-resources-and-rate-limiting.md

Lines changed: 1 addition & 1 deletion
Original file line numberDiff line numberDiff line change
@@ -27,7 +27,7 @@ Lorsque le téléversement est terminé, l'API crée plusieurs vignettes avec di
2727

2828
### Scénario #2
2929

30-
Nous avons une application qui contient la liste des utilisateurs avec une limite de `200` utilisateurs par page. La liste des utilisateurs est obtenue auprès du serveur avec la requête suivante : `/api/users?page=1&size=100`. Un attaquant change la valeur de `size`
30+
Nous avons une application qui contient la liste des utilisateurs avec une limite de `200` utilisateurs par page. La liste des utilisateurs est obtenue auprès du serveur avec la requête suivante : `/api/users?page=1&size=200`. Un attaquant change la valeur de `size`
3131
en `200 000`, entrainant des problèmes de perfomance sur la base de données. De ce fait, l'API ne répond plus et n'est plus capable de traiter d'autres requêtes de ce client ou d'autres clients (autrement dit déni de service).
3232

3333
Le même scénario peut être utilisé pour générer des erreurs Integer Overflow ou Buffer Overflow.

2019/pt-br/dist/owasp-api-security-top-10-pt-br.odt

-974 Bytes
Binary file not shown.

0 commit comments

Comments
 (0)