Бир пакет қисмкласс бўлмаган
|
+
|
-
|
+
|
+
|
Турли пакет қисмкласслари
|
-
|
-
|
+
|
+
|
Турли пакет қисмкласс бўлмаган
|
-
|
-
|
-
|
+
|
ДТ хавфсизлиги принциплари (OWASP)
Теран ҳимоя принципи
- Ушбу принципга кўра, битта назоратнинг бўлиши яхши, кўплаб назоратлардан фойдаланиш эса яхшироқ. Теран ҳимояда фойдаланилган назоратлар турли заифлик орқали бўлиши мумкин бўлган таҳдидларни камайтиради.
- Хавфсиз дастур ёзиш орқали эса, кириш қийматини текширишни, марказлашган аудитни бошқаришни ва фойдалувчиларни барча саҳифаларга киришларини талаб қилишлари мумкин.
Мисол:
- Агар нотўғри ишлаб чиқилган администратор интерфейси, тармоққа киришни тўғри очса, фойдаланувчиларни авторизациясини текширса ва барча ҳолатларни қайд қилса, у аноним ҳужумга бардошсиз бўлиши мумкин эмас.
- Иловалар турли сабабларга кўра амалга оширилиш жараёнида бузилишларга учрайди. Агар илова хавфсиз бўлса ёки аксинча, қандай қилиб уларни бузилишини аниқлаш мумкин.
- Мазкур ҳолда codeWhichMayFail() ёки isUserInRole функцияларида хатолик бўлса ёки бирор Exception кузатилган тақдирда, фойдаланувчи админ рўлида қолаверади. Бу кўриниб турган хавфсизлик риски.
ДТ хавфсизлиги принциплари (OWASP)
Хизматларга ишонмаслик
- Ҳозирги кунда кўплаб ташкилотлар учинчи томон, шерикларининг ҳисоблаш имкониятидан фойдаланади. Масалан, бир ташкилот ўз маълумотларини ўз шериги томонидаги дастурий таъминот билан қайта ишлаши мумкин. Бу ҳолда уларга ишониш кафолатланмайди.
Мисол:
- Payme ёки шунга ўхшаш иловалар бир нечта банк карталаридаги маълумотларни тақдим қилади. Мазкур ҳолда, ҳар бир банк фойдаланувчи томонида ўз маълумотларини тўғри акслантирилганини текшириши керак бўлади.
Do'stlaringiz bilan baham: |
