Ataque 29: Repudiation

burning contractDescrição:

Consiste na aplicação não ter como identificar as ocorrências de ações e ou operações efetuadas pelos usuários. Consiste no usuário final negar que fez alguma coisa maliciosamente e a solução não ter com provar o contrário.

Riscos: 

  • A solução não pode ser auditada em casos de ocorrências de furos de negócio.
  • Impossibilidade de responsabilizar os usuários culpados por determinadas transações indevidas, errôneas, maliciosas e ou criminosas.

Solução

A aplicação deve usar algum mecanismo de log que registre usuário, processo, data e hora, sucesso ou falha de todas as operações críticas, registrando o histórico de uso de cada usuário.

Para todas as informações, veja o post inicial.

“Mas graças a Deus, que sempre nos conduz vitoriosamente em Cristo e por nosso intermédio exala em todo lugar a fragrância do seu conhecimento.” 2 Coríntios 2:14