7PK — злоупотребление API

Данная категория представляет один из классов в классификации уязвимостей «Семь порочных королевств». Она охватывает слабости, связанные с использованием программным обеспечением API вопреки его предназначению. Согласно авторам «Семи порочных королевств»: «API — это контракт между вызывающей и вызываемой стороной. Наиболее распространённые формы злоупотребления API возникают, когда вызывающая сторона не соблюдает свою часть контракта. Например, если программа не вызывает chdir() после chroot(), она нарушает контракт, определяющий безопасный способ смены активного корневого каталога. Другой показательный пример — ожидание от вызываемой стороны надёжной DNS-информации. В этом случае вызывающая сторона злоупотребляет API вызываемой стороны, делая определённые допущения о её поведении (что возвращаемое значение можно использовать для аутентификации). Контракт вызывающей и вызываемой сторон можно нарушить и с другой стороны. Например, если разработчик создаёт подкласс SecureRandom и возвращает неслучайное значение, контракт нарушается».