この製品は、受信リクエストの数など、アクターとのインタラクションの数や頻度を適切に制限していません。
これにより、行為者は予想以上の頻度でアクションを実行することができる。行為者は人間かもしれないし、ウィルスやボットのような自動化されたプロセスかもしれない。これを利用して、サービス拒否を引き起こしたり、プログラム・ロジックを危殆化させたり(例えば、人間が1回の投票に制限をかけるなど)、その他の結果をもたらす可能性がある。例えば、認証ルーチンは攻撃者がパスワードを推測できる回数を制限しないかもしれない。あるいは、ウェブサイトは投票を行うが、人間が投票するのは一日一回までとする。
The product does not properly limit the number or frequency of interactions that it has with an actor, such as the number of incoming requests.
This can allow the actor to perform actions more frequently than expected. The actor could be a human or an automated process such as a virus or bot. This could be used to cause a denial of service, compromise program logic (such as limiting humans to a single vote), or other consequences. For example, an authentication routine might not limit the number of times an attacker can guess a password. Or, a web site might conduct a poll but only expect humans to vote a maximum of once a day.