بررسی صحت ورودی و خروجی

امنیت در BPMS فراگستر – بررسی صحت ورودی و خروجی

پیرو انتشار مقالات قبلی در ارتباط با مبحث امنیت در BPMS فراگستر، در این مقاله قصد داریم به معیارهای موجود در حوزه بررسی صحت ورودی و خروجی این نرم‌افزار اشاره کنیم.
اغلب آسیب‌پذیری های امنیتی برنامه‌های کاربردی از ضعف بررسی صحت داده‌های ورودی و خروجی بوجود می‌آید.

فاکتورهای امنیتی ورودی و خروجی در سیستم BPMS فراگستر

BPMS فراگستر در این حوزه شاخص‌های اصلی زیر را پاس نموده است:

  • نقاط ورودی، خروجی و سطوح امنیتی: تمام ورودی‌ها، خروجی‌ها و ناحیه‌های امن برنامه‌ی کاربردی برای اعمال راهکارهای کنترلی باید مشخص شود.
  • تطبیق داده‌های ورودی: داده‌های ورودی باید براساس نوع، مقدار، شکل، اندازه، محدوده و نیز پاکسازی ورودی براساس لیست کاراکترها بررسی و تطبیق داده شوند.
  • کنترل متمرکز صحت داده‌های ورودی: برای کنترل متمرکز خط‌ مشی‌های بررسی صحت ورودی، در سطح برنامه‌ی کاربردی باید بصورت متمرکز و با استفاده از توابع و متدهای طراحی شده برای این منظور انجام شود.
  • واسط‌های کاربری مدیریتی: برنامه‌ی کاربردی باید واسط‌های کاربری لازم را برای تنظیم خط مشی‌های امنیتی برای مدیر سیستم فراهم کند.
  • عدم اعتماد به بررسی صحت ورودی در سمت کاربر: معماری برنامه‌ی کاربردی باید بگونه‌ای باشد که تنها به بررسی صحت ورودی در سمت کاربر اکتفا ننموده و صحت ورودی در سمت سرور نیز بررسی شود.
  • رعایت قاعده‌ی دفاع در عمق برای بررسی صحت ورودی: بررسی صحت ورودی در تمامی لایه‌های مرورگر، برنامه‌ی کاربردی و پایگاه داده، باید انجام گیرد.
  • تطبیق داده‌های خروجی: داده‌های خروجی برنامه‌های کاربردی که از طرف کاربر فراهم شده است باید براساس نوع، مقدار، شکل، اندازه و محدوده و نیز پاکسازی خروجی براساس لیست کاراکترها و الگوهای بدنیت بررسی و تطبیق داده شده تا امکان سوء استفاده نفوذگران از این ناحیه جلوگیری گردد.
  • جلوگیری از آسیب‌پذیری XSS: برنامه‌ی کاربردی باید با استفاده از راهکارهای مناسب از قبیل کدگذاری، فیلتر کردن برچسب‌های HTML و… از بوجود آمدن آسیب‌پذیری XSS جلوگیری کند.
  • جلوگیری از آسیب‌پذیری SQL Injection: برنامه‌ی کاربردی باید با استفاده از راهکارهای مناسب از قبیل فیلتر کردن کاراکترهای خاص، استفاده از رویه‌های ذخیره شده‌ی پارامتری شده و… از آسیب‌پذیری SQL Injection جلوگیری کند.
  • بررسی صحت پارامترها: صحت پارامترها قبل از استفاده شدن براساس طول، نوع، مقدار و محدوده باید بررسی شود.
  • مقدار دهی اولیه‌ی متغیرها: برنامه‌کاربردی باید تمامی متغیرها را مقداردهی اولیه نماید.
  • کنترل فیلدهای مخفی فرم‌های HTML: برنامه‌ی کاربردی باید صحت مبدا عامل تغییرات در فیلدهای مخفی فرم را بررسی کند.

 

 

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

Got Something To Say: