クロスサイト リクエスト フォージェリ (CSRF) 攻撃では、ユーザーがアプリケーションへの認証に使用したクライアントに、ユーザー自身の資格情報で偽のリクエストを送信させ、アプリケーションが信頼できるクライアントおよびユーザーからのものであると認識するコマンドやリクエストを実行させます。攻撃者にはコマンドの結果を確認する方法がないため、このタイプの攻撃を使用してデータを直接盗むことはできませんが、アプリケーションを侵害する別の方法が可能になります。関数レベルのアクセス制御が欠落しており、アプリケーションは最初のログイン プロセス中に承認をチェックするだけで、関数呼び出しごとにそれ以上の検証を行いません。クロスサイト スクリプティングは、攻撃者が検証プロセスを経ずに信頼できないデータをユーザーのブラウザに送信できる場合に発生します。インジェクション攻撃とは、悪意のある攻撃者が、アプリケーションやシステムに通常の処理やクエリの一部としてコードを実行させる目的で、入力フィールドやデータ フィールドを通じてコマンドやその他の任意のデータを送信する攻撃です。

CMB が多数の変更リクエストを受信し、ベースラインを変更することでリクエストの量が減少する場合は、ベースラインを変更する十分な理由になります。他の理由はベースラインにまったく関係しないはずです。

管理プレーンは API を使用して、クラウド環境全体でさまざまな管理システム、特にハイパーバイザーへのリモート呼び出しを実行します。これにより、集中管理インターフェイス (多くの場合 Web ポータル) が企業全体のタスクを調整できるようになります。スクリプトは API 呼び出しの実行に利用できますが、システムとの対話には直接使用されません。XML はデータのエンコードと送信に使用されますが、リモート呼び出しの実行には使用されません。TLS は通信の暗号化に使用され、API 呼び出しで使用される場合がありますが、コマンドを実行する実際のプロセスではありません。

説明/参照:
Explanation:
アプリケーションの大きな機能変更が発生するたびに、全体的な戦略とプロセスが引き続き適用可能で適切であることを確認するために、新しい BCDR テストを実行する必要があります。