1 10 Table of Contents 12 101

URN_NBN_SI_DOC-RKSH48DC

Kako lahko OWASP pomaga revizorjem? 11 4. Encode and Escape Data – enkodiranje in escapanje podatkov sta zelo pomembni tehniki zaščite. Tako se na primer v HTML ustrezno kodirajo znaki, kar onemogoči različne napade na uporabnika. Te tehnike je treba uporabiti pri shranjevanju npr. HTML vsebin v podatkovno bazo, saj lahko onemogočijo različne napade pri branju teh podatkov iz baze. 5. Validate All Inputs – pri vhodnih podatkih je treba vse podatke obravnavati kot potencialno nevaren vhod v aplikacijo in jih zato dodatno preveriti, ali res ustrezajo pričakovanim vhodom. Tako je treba preveriti sintaktično in tudi semantično pravilnost vhodnih podatkov in pri napakah to sporočiti tudi uporabniku ali zabeležiti v dnevnik dogodkov. 6. Implement Digital Identity – digitalna identiteta je unikatna predstavitev uporabnika, ki sodeluje v transakcijah aplikacije. Za različne tipe aplikacij je treba uvesti tudi različne načine avtentikacije, ki so odvisni od tega, kakšne varnostne zahteve mora izpolnjevati aplikacija. Tako lahko uporabimo različne načine avtentikacije, kot na primer gesla, dvonivojsko avtentikacijo ali celo certifikate. 7. Enforce Access Controls – kontrola dostopa ali avtorizacije je proces, pri katerem se uporabniku omogoči ali onemogoči dostop do različnih virov, in sicer glede na pravice, ki so mu bile dodeljene. Zato je pomembno preveriti, ali sistem dodeljevanja pravic deluje tako, kot bi moral, in ali ni možno zlorabiti svojih pravic in pridobiti dostopa do funkcionalnosti, do katerih ne bi smeli priti. 8. Protect Data Everywhere – občutljivi podatki, kot na primer gesla, podatki kreditnih kartic, zdravstveni in drugi osebni podatki, zahtevajo posebno zaščito, še posebej, če ti podatki spadajo pod uredbo, kot na primer GDRP, ZVOP-1UPB ali PCI DSS. Zato je treba te podatke v prvem koraku prepoznati in ustrezno klasificirati. Nato jih je treba zaščititi ne samo med prenosom preko omrežij, ampak tudi pri njihovi hrambi. 9. Implement Security Logging and Monitoring – dnevniški zapisi varnostnih dogodkov so zelo pomemben del nadzorovanja delovanja aplikacije in v primeru težav lahko služijo kot dober vir informacij za odkrivanje napak. Tako je pomembno, da se ti dnevniški zapisi shranjujejo v skladu s standardi in dobrimi praksami ter da se izvaja tudi nadzor nad delovanjem sistema in aplikacij. 10. Handle All Errors and Exceptions – obravnava napak in lovljenje izjem pri delovanju programa je tipičen način odziva aplikacije na določena stanja v aplikaciji. Pri obravnavi teh napak je pomembno, da so uporabniku sporočena na tak način, da ne izdajajo dodatnih informacij o zalednih sistemih ali

RkJQdWJsaXNoZXIy