- Иловалар турли сабабларга кўра амалга оширилиш жараёнида бузилишларга учрайди. Агар илова хавфсиз бўлса ёки аксинча, қандай қилиб уларни бузилишини аниқлаш мумкин.
- Мазкур ҳолда codeWhichMayFail() ёки isUserInRole функцияларида хатолик бўлса ёки бирор Exception кузатилган тақдирда, фойдаланувчи админ рўлида қолаверади. Бу кўриниб турган хавфсизлик риски.
ДТ хавфсизлиги принциплари (OWASP)
Хизматларга ишонмаслик
- Ҳозирги кунда кўплаб ташкилотлар учинчи томон, шерикларининг ҳисоблаш имкониятидан фойдаланади. Масалан, бир ташкилот ўз маълумотларини ўз шериги томонидаги дастурий таъминот билан қайта ишлаши мумкин. Бу ҳолда уларга ишониш кафолатланмайди.
Мисол:
- Payme ёки шунга ўхшаш иловалар бир нечта банк карталаридаги маълумотларни тақдим қилади. Мазкур ҳолда, ҳар бир банк фойдаланувчи томонида ўз маълумотларини тўғри акслантирилганини текшириши керак бўлади.
ДТ хавфсизлиги принциплари (OWASP)
Вазифаларни ажратиш
- Фирибгарликни олдини олишга қаратилган асосий чора бу – вазифаларни ажратишдир. Масалан, ташкилотда компьютерни олиш бўйича сўров берган одам ўзи унга ҳам имзо қўя олмайди. Сабаби, бу ҳолда у кўплаб компьютерларни сўраши ва қабул қилиб олганини рад қилиши мумкин.
- Баъзи бир ролларда оддий фойдаланувчиларга нисбатан ишонч даражаси турлича бўлади. Масалан, администратор оддий фойдаланувчидан фарқ қилади. Умуман олганда, администраторлар илова фойдаланувчиларидан бўлмаслиги керак.
Мисол:
- Администраторлар тизимни ўчириши ёки ёқиши, пароллар сиёсатини ўрната олиши керак. Бироқ, улар онлайн савдо дўконига имтиёзга эга фойдаланувчи сифатида кира олмаслиги керак. Масалан, товарларни бошқалар номидан сотиб олиш имкониятига эга бўлмаслиги керак.
ДТ хавфсизлиги принциплари (OWASP)
Do'stlaringiz bilan baham: |