滥用用例

Q: 滥用用例 是什么?

一种需求层面的工件,描述恶意行为者如何有意滥用系统以损害用户、数据或业务。 它属于网络安全的 应用安全 分类。

Q: 如何防御 滥用用例?

针对 滥用用例 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

滥用用例是什么?

滥用用例一种需求层面的工件,描述恶意行为者如何有意滥用系统以损害用户、数据或业务。

滥用用例是用例的安全对应物:它描述的不是合法用户如何达成目标,而是攻击者如何有意破坏、颠覆或武器化某项功能。滥用用例通常在需求和设计阶段编写,常与误用用例配合,直接为威胁建模、安全需求和测试计划提供输入。每个滥用用例通常包含参与者、攻击目标、前置条件、恶意操作序列及预期影响。在编码之前提早捕获滥用用例,可以促使产品、研发与安全团队就对抗性行为形成共同认知。

● 示例

01
攻击者通过响应时间差异滥用密码重置流程,以枚举有效用户账号。
02
恶意卖家滥用优惠券接口,叠加超出预期上限的折扣。

● 常见问题

滥用用例是什么?

一种需求层面的工件,描述恶意行为者如何有意滥用系统以损害用户、数据或业务。它属于网络安全的应用安全分类。

滥用用例是什么意思?

一种需求层面的工件,描述恶意行为者如何有意滥用系统以损害用户、数据或业务。

如何防御滥用用例?

针对滥用用例的防御通常结合技术控制与运营实践,详见上方完整定义。

滥用用例

滥用用例是什么?

● 示例

● 常见问题

● 相关术语

● 另见

滥用用例 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

滥用用例是什么?