その製品は、外部の行為者によって変更可能であってはならない入力の難読化または暗号化を使用しているが、それらの入力が変更されたかどうかを検出するために完全性チェックを使用していない。
クライアントが制御可能なトークンやパラメータを保護するために、アプリケーションが難読化や不正に適用された/弱い暗号化に依存すると、ユーザ状態やシステム状態、あるいはサーバ上で行われた何らかの決定に影響を及ぼす可能性があります。トークン/パラメータの完全性を保護しないと、アプリケーションは、敵対者が優位に立とうと、トークン/パラメータの取り得る値 の空間を探索する攻撃に対して脆弱になります。攻撃者の目標は、何らかの形でシステムにおける特権を昇格させ、情報を開示し、攻撃者にとって有益な方法でシス テムの振る舞いを変更する、別の許容値を見つけることです。もしアプリケーションがこれらの重要なトークン/パラメータを完全性のために保護しなければ、これらの値が改ざんされ たことを判断することができません。機密性のためにデータを保護するために使用される対策は、完全性サービスを提供するために信頼されるべきではありません。
The product uses obfuscation or encryption of inputs that should not be mutable by an external actor, but the product does not use integrity checks to detect if those inputs have been modified.
When an application relies on obfuscation or incorrectly applied / weak encryption to protect client-controllable tokens or parameters, that may have an effect on the user state, system state, or some decision made on the server. Without protecting the tokens/parameters for integrity, the application is vulnerable to an attack where an adversary traverses the space of possible values of the said token/parameter in order to attempt to gain an advantage. The goal of the attacker is to find another admissible value that will somehow elevate their privileges in the system, disclose information or change the behavior of the system in some way beneficial to the attacker. If the application does not protect these critical tokens/parameters for integrity, it will not be able to determine that these values have been tampered with. Measures that are used to protect data for confidentiality should not be relied upon to provide the integrity service.