21-Маъруза: Дастурий таъминот хавфсизлигининг фундаментал принциплари


Download 1.16 Mb.
bet4/6
Sana13.12.2022
Hajmi1.16 Mb.
#1000922
1   2   3   4   5   6
Bog'liq
21 - маъруза

Бир пакет қисмкласс бўлмаган

+

-

+

+

Турли пакет қисмкласслари

-

-

+

+

Турли пакет қисмкласс бўлмаган

-

-

-

+

ДТ хавфсизлиги принциплари (OWASP)


Теран ҳимоя принципи
    • Ушбу принципга кўра, битта назоратнинг бўлиши яхши, кўплаб назоратлардан фойдаланиш эса яхшироқ. Теран ҳимояда фойдаланилган назоратлар турли заифлик орқали бўлиши мумкин бўлган таҳдидларни камайтиради.
    • Хавфсиз дастур ёзиш орқали эса, кириш қийматини текширишни, марказлашган аудитни бошқаришни ва фойдалувчиларни барча саҳифаларга киришларини талаб қилишлари мумкин.

Мисол:
    • Агар нотўғри ишлаб чиқилган администратор интерфейси, тармоққа киришни тўғри очса, фойдаланувчиларни авторизациясини текширса ва барча ҳолатларни қайд қилса, у аноним ҳужумга бардошсиз бўлиши мумкин эмас.

Хавфсизликни бузилиши

  • Иловалар турли сабабларга кўра амалга оширилиш жараёнида бузилишларга учрайди. Агар илова хавфсиз бўлса ёки аксинча, қандай қилиб уларни бузилишини аниқлаш мумкин.
  • Мазкур ҳолда codeWhichMayFail() ёки isUserInRole функцияларида хатолик бўлса ёки бирор Exception кузатилган тақдирда, фойдаланувчи админ рўлида қолаверади. Бу кўриниб турган хавфсизлик риски.

ДТ хавфсизлиги принциплари (OWASP)


Хизматларга ишонмаслик
    • Ҳозирги кунда кўплаб ташкилотлар учинчи томон, шерикларининг ҳисоблаш имкониятидан фойдаланади. Масалан, бир ташкилот ўз маълумотларини ўз шериги томонидаги дастурий таъминот билан қайта ишлаши мумкин. Бу ҳолда уларга ишониш кафолатланмайди.

Мисол:
    • Payme ёки шунга ўхшаш иловалар бир нечта банк карталаридаги маълумотларни тақдим қилади. Мазкур ҳолда, ҳар бир банк фойдаланувчи томонида ўз маълумотларини тўғри акслантирилганини текшириши керак бўлади.

Download 1.16 Mb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling