ベータ Shoulder はベータ版です — 結果が誤っている場合があります。皆さまのフィードバックが次に修正する内容を決定します。 フィードバックを送る
Shoulder.dev

開発者向け脅威インテリジェンス
🚪

Missing Authorization

🛡️ 3 件のルールが検出します

Missing Authorization

The product does not perform an authorization check when an actor attempts to access a resource or perform an action.

Assuming a user with a given identity, authorization is the process of determining whether that user can access a given resource. When authorization checks are completely missing, any authenticated user can access protected resources.

普及度
頻繁に悪用される
影響度
ハイ
3 件の重大度ハイのルール
予防
文書化済み
3 件の修正例
2 予防
2 予防

この脆弱性の修正方法

3 件の Shoulder 検出ルールに基づく Missing Authorization の予防策。

🐹 Go すべて表示 Go 詳細 →
LLM Excessive Agency HIGH

Require human approval for sensitive operations and limit agent loop iterations

+12 -1 go 
- for _, toolCall := range resp.Choices[0].Message.ToolCalls {
+ var sensitiveOps = map[string]bool{
+     "deleteUser": true, "transferFunds": true, "sendEmail": true,
+ }
+ 
+ for i, toolCall := range resp.Choices[0].Message.ToolCalls {
+     if i >= maxIterations {
+         break
+     }
+     if sensitiveOps[toolCall.Function.Name] {
+         queueForApproval(toolCall)
+         continue
+     }
      result, _ := tools[toolCall.Function.Name](toolCall.Function.Arguments)
      results = append(results, result)
  }
3 検出
3 検出

コードの脆弱性を見つける

Shoulderを使用してコードのMissing Authorizationパターンをスキャンしましょう。 3 ルール.

ターミナル
# Scan with Shoulder CLI
npx @shoulderdev/cli trust --cwe=862

# Or scan entire project
npx @shoulderdev/cli trust .

検出ルール (3)

4 警告サイン
4 警告サイン

コードレビューで注目すべき点

これらのパターンはMissing Authorizationの潜在的な脆弱性を示しています。コードレビューとセキュリティ監査中に探してください。

🟠
Excessive LLM agency detected: ... go-llm-excessive-agency
🟠
LLM implementations with excessive autonomy allowing destructive operations without human approval go-llm-excessive-agency
🔍

コードベースをスキャン: Missing Authorization

Shoulder CLI はコードベース全体から脆弱なパターンを見つけます。

npx shoulder trust すべてのルールを表示