ورودی و خروجی

امنیت درBPMSفراگستر-بررسی صحت ورودی و خروجی

پیرو انتشار مقالات قبلی در ارتباط با مبحث امنیت در BPMS فراگستر، در این مقاله قصد داریم به معیارهای موجود در حوزه بررسی صحت ورودی و خروجی این نرم‌افزار اشاره کنیم.
اغلب آسیب‌پذیری های امنیتی برنامه‌های کاربردی از ضعف بررسی صحت داده‌های ورودی و خروجی بوجود می‌آید.

BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:

نقاط ورودی، خروجی و سطوح امنیتی: تمام ورودی‌ها، خروجی‌ها و ناحیه‌های امن برنامه‌ی کاربردی برای اعمال راهکارهای کنترلی باید مشخص شود.

تطبیق داده‌های ورودی: داده‌های ورودی باید براساس نوع، مقدار، شکل، اندازه، محدوده و نیز پاکسازی ورودی براساس لیست کاراکترها بررسی و تطبیق داده شوند.

کنترل متمرکز صحت داده‌های ورودی: برای کنترل متمرکز خط‌ مشی‌های بررسی صحت ورودی، در سطح برنامه‌ی کاربردی باید بصورت متمرکز و با استفاده از توابع و متدهای طراحی شده برای این منظور انجام شود.

واسط‌های کاربری مدیریتی: برنامه‌ی کاربردی باید واسط‌های کاربری لازم را برای تنظیم خط مشی‌های امنیتی برای مدیر سیستم فراهم کند.

عدم اعتماد به بررسی صحت ورودی در سمت کاربر: معماری برنامه‌ی کاربردی باید بگونه‌ای باشد که تنها به بررسی صحت ورودی در سمت کاربر اکتفا ننموده و صحت ورودی در سمت سرور نیز بررسی شود.

رعایت قاعده‌ی دفاع در عمق برای بررسی صحت ورودی: بررسی صحت ورودی در تمامی لایه‌های مرورگر، برنامه‌ی کاربردی و پایگاه داده، باید انجام گیرد.

تطبیق داده های خروجی: داده های خروجی برنامه‌های کاربردی که از طرف کاربر فراهم شده است باید براساس نوع، مقدار، شکل، اندازه و محدوده و نیز پاکسازی خروجی براساس لیست کاراکترها و الگوهای بدنیت بررسی و تطبیق داده شده تا امکان سوء استفاده نفوذگران از این ناحیه جلوگیری گردد.

جلوگیری از آسیب‌پذیری XSS: برنامه‌ی کاربردی باید بااستفاده از راهکارهای مناسب از قبیل کدگذاری، فیلتر کردن برچسب‌های HTML و… از بوجود آمدن آسیب‌پذیری XSS جلوگیری کند.

جلوگیری از آسیب‌پذیری SQL Injection: برنامه‌ی کاربردی باید با استفاده از راهکارهای مناسب از قبیل فیلتر کردن کاراکترهای خاص، استفاده از رویه‌های ذخیره شده‌ی پارامتری شده و … از آسیب‌پذیری SQL Injection جلوگیری کند.

بررسی صحت پارامترها: صحت پارامترها قبل از استفاده شدن براساس طول، نوع، مقدار و محدوده باید بررسی شود.

مقدار دهی اولیه‌ی متغیرها: برنامه‌کاربردی باید تمامی متغیرها را مقداردهی اولیه نماید.

کنترل فیلدهای مخفی فرم‌های HTML: برنامه‌ی کاربردی باید صحت مبدا عامل تغییرات در فیلدهای مخفی فرم را بررسی کند.

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

Got Something To Say: