説明
クロスサイト リクエスト フォージェリ (CSRF) 攻撃では、ユーザーがアプリケーションへの認証に使用したクライアントに、ユーザー自身の資格情報で偽のリクエストを送信させ、アプリケーションが信頼できるクライアントおよびユーザーからのものであると認識するコマンドやリクエストを実行させます。攻撃者にはコマンドの結果を確認する方法がないため、このタイプの攻撃を使用してデータを直接盗むことはできませんが、アプリケーションを侵害する別の方法が可能になります。関数レベルのアクセス制御が欠落しており、アプリケーションは最初のログイン プロセス中に承認をチェックするだけで、関数呼び出しごとにそれ以上の検証を行いません。クロスサイト スクリプティングは、攻撃者が検証プロセスを経ずに信頼できないデータをユーザーのブラウザに送信できる場合に発生します。インジェクション攻撃とは、悪意のある攻撃者が、アプリケーションやシステムに通常の処理やクエリの一部としてコードを実行させる目的で、入力フィールドやデータ フィールドを通じてコマンドやその他の任意のデータを送信する攻撃です。

説明
SOAP プロトコルはキャッシュをサポートしませんが、REST API はキャッシュをサポートします。

説明/参照:
Explanation:
侵入防止システム (IPS) は、トラフィックを検査し、さまざまな要因に基づいて疑わしいトラフィックを検出できますが、そのようなトラフィックをアクティブにブロックすることもできます。IDS は IPS と同じタイプの不審なトラフィックを検出できますが、警告するだけの設計であり、ブロックするわけではありません。ファイアウォールは、IP アドレス、ポート、およびプロトコルのみを考慮します。シグネチャベースのトラフィック検出には使用できません。プロキシは、ネットワーク ファイアウォールよりも広範な要素に基づいてトラフィックを制限または誘導できますが、IPS と同じシグネチャ検出ルールを使用することはできません。

説明
再現性は、エクスプロイトを再現し、成功させるのがどれだけ簡単かを示す尺度です。DREAD モデル内のスコアの範囲は、ほぼ不可能な悪用を示す 0 から、URL など、単純な関数呼び出しで誰でも悪用できる可能性のあるものを示す 10 までです。