ベータ Shoulder はベータ版です — 結果が誤っている場合があります。皆さまのフィードバックが次に修正する内容を決定します。 フィードバックを送る
Shoulder.dev

開発者向け脅威インテリジェンス
📈

Allocation of Resources Without Limits or Throttling

🛡️ 3 件のルールが検出します

Allocation of Resources Without Limits or Throttling

The product allocates a reusable resource or group of resources on behalf of an actor without imposing any restrictions on the size or number of resources that can be allocated.

Without limits on resource allocation, an attacker can consume all available resources, causing denial of service for legitimate users.

普及度
頻繁に悪用される
影響度
ミディアム
レビュー推奨
予防
文書化済み
3 件の修正例
2 予防
2 予防

この脆弱性の修正方法

3 件の Shoulder 検出ルールに基づく Allocation Without Limits の予防策。

🟨 JavaScript すべて表示 JavaScript 詳細 →
Request Size Limits in Express.js MEDIUM

Set size limits on body parser middleware to prevent memory exhaustion

+2 -2 javascript 
- app.use(express.json());
- app.use(express.urlencoded({ extended: true }));
+ app.use(express.json({ limit: '100kb' }));
+ app.use(express.urlencoded({ extended: true, limit: '100kb' }));
Prisma Unbounded Relation Loading MEDIUM

Add 'take' limits to all relation includes to prevent unbounded data loading and resource exhaustion

+9 -2 javascript 
  import { PrismaClient } from '@prisma/client';
  const prisma = new PrismaClient();
  
  app.get('/api/users/:id', async (req, res) => {
    const user = await prisma.user.findUnique({
      where: { id: req.params.id },
      include: {
-       posts: true,         // Could be thousands of posts
-       comments: true,      // Could be tens of thousands
+       posts: {
+         take: 20,
+         orderBy: { createdAt: 'desc' },
+         select: { id: true, title: true, createdAt: true },
+       },
+       comments: {
+         take: 50,
+         orderBy: { createdAt: 'desc' },
+       },
      }
    });
    res.json(user);
  });
🐍 Python すべて表示 Python 詳細 →
Missing API Rate Limiting MEDIUM

Add rate limiting to authentication and expensive API endpoints

+7 -2 python 
  from flask import Flask, request, jsonify
- 
- @app.route('/api/login', methods=['POST'])
+ from flask_limiter import Limiter
+ from flask_limiter.util import get_remote_address
+ 
+ limiter = Limiter(app=app, key_func=get_remote_address)
+ 
+ @app.route('/api/login', methods=['POST'])
+ @limiter.limit("5 per minute")
  def login():
      user = authenticate(request.json)
      return jsonify({'token': generate_token(user)})
3 検出
3 検出

コードの脆弱性を見つける

Shoulderを使用してコードのAllocation of Resources Without Limits or Throttlingパターンをスキャンしましょう。 3 ルール.

ターミナル
# Scan with Shoulder CLI
npx @shoulderdev/cli trust --cwe=770

# Or scan entire project
npx @shoulderdev/cli trust .

検出ルール (3)

4 警告サイン
4 警告サイン

コードレビューで注目すべき点

これらのパターンはAllocation of Resources Without Limits or Throttlingの潜在的な脆弱性を示しています。コードレビューとセキュリティ監査中に探してください。

🟡
Body parser without size limit: ... Without request size limits, attackers can send oversized payloads causing memory ex javascript-express-request-size-limits
🟡
missing or inadequate request size limits in Express javascript-express-request-size-limits
🟡
Relation '...' loaded without 'take' limit. This can cause resource exhaustion if users have many related records. prisma-unsafe-include
🟡
API endpoint lacks rate limiting protection python-missing-rate-limiting
🟡
API endpoints without rate limiting python-missing-rate-limiting
🔍

コードベースをスキャン: Allocation of Resources Without Limits or Throttling

Shoulder CLI はコードベース全体から脆弱なパターンを見つけます。

npx shoulder trust すべてのルールを表示