滥用案例(misuse cases)

-用例和滥用案例（来源：https://en.wikipedia.org/wiki/Misuse_case)

用例（Use Case）
用例描述了一个或多个场景，这些场景表示参与者（用户，代理，系统或实体）如何与系统交互。用例最适合传达功能需求或从用户角度出发。用例可以用结构文本或图表表示。用例的标题可以以Subject + Verb的模式编写，例如，客户下订单。

滥用案例(Misuse Case)
相反，滥用案例通常从恶意或无意的用户的角度记录对功能的威胁。当用户使用功能时，开发人员会构建功能。用例或滥用案例通常不会记录开发人员的构建过程或工作。
人非圣贤孰能。开发人员构建带有错误的API并不少见。开发人员可能会为了系统监视目的而创建一个错误的API，但没有一个滥用案例，这描述了参与者与系统进行交互的步骤（事件和响应），这是有风险的。

SQL注入(SQL Injection)
黑客在登录表单中键入SQL表达式是一种典型的滥用情况。

-SQL注入（来源：PortSwigger）

路径/目录遍历(Path/Directory Traversal)
路径/目录遍历作为攻击非常依赖於相对路径。这是一个漏洞或指示器，会导致滥用案例，即用户使用相对路径在资源之间导航。

-资料来源：Paul Ionescu

Web参数篡改/操纵(Web Parameter Tampering/Manipulation)
允许客户通过输入URL进入产品列表的特定页面，这是一个糟糕的设计。如果用户输入了无效的页码怎麽办？说-1或65535。

-什麽是网址？

参考
. 目录遍历
. 远程文件路径遍历攻击带来乐趣和收益
. 攻击克
. TRC技术讲座：目录遍历攻击与防御–第1部分
. Unix文件结构
. 什麽是网址？
. Web参数篡改

资料来源： Wentz Wu QOTD-20210319