このカテゴリーは、"七つの悪意ある王国 "の脆弱性分類の中のフィラの一つを表している。ソフトウェアがAPIをその意図された用途に反する方法で使用する弱点が含まれる。Seven Pernicious Kingdomsの著者によると、「APIは呼び出し側と呼び出し側の間の契約である。APIの誤用の最も一般的な形態は、呼び出し側がこの契約を守らない場合に発生する。例えば、chroot()を呼び出した後にchdir()を呼び出さないプログラムは、安全な方法でアクティブなルート・ディレクトリを変更する方法を指定する契約に違反している。ライブラリの濫用のもう1つの良い例は、呼び出し側が信頼できるDNS情報を呼び出し側に返すと期待することである。この場合、呼び出し側は、着呼側APIの動作について特定の仮定をすることで、 着呼側APIを悪用することになる(返り値が認証目的に使用できるという仮定)。また、呼び出し側と着呼側の契約に違反することもできる。たとえば、コーダーがSecureRandomをサブクラス化し、ランダムでない値を返した場合、契約違反となる。"
This category represents one of the phyla in the Seven Pernicious Kingdoms vulnerability classification. It includes weaknesses that involve the software using an API in a manner contrary to its intended use. According to the authors of the Seven Pernicious Kingdoms, "An API is a contract between a caller and a callee. The most common forms of API misuse occurs when the caller does not honor its end of this contract. For example, if a program does not call chdir() after calling chroot(), it violates the contract that specifies how to change the active root directory in a secure fashion. Another good example of library abuse is expecting the callee to return trustworthy DNS information to the caller. In this case, the caller misuses the callee API by making certain assumptions about its behavior (that the return value can be used for authentication purposes). One can also violate the caller-callee contract from the other side. For example, if a coder subclasses SecureRandom and returns a non-random value, the contract is violated."
不明