تطبيق مبادئ التصميم الآمن في هياكل التطبيقات
الوصف
تطبيق مبادئ التصميم الآمن في هياكل التطبيقات. تتضمن مبادئ التصميم الآمن مفهوم الحد الأدنى من الامتيازات والعمق في الدفاع والفشل الآمن.
قائمة التحقق من التطبيق
توصيات الأدوات
منصة أمان التطبيقات مع اختبار الأمان الثابت والديناميكي وتحليل تكوين البرمجيات وتدريب المطورين على التطوير الآمن للبرمجيات
Veracode · اشتراك لكل تطبيق
منصة سحابية أصلية لأمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي وأمان واجهات برمجة التطبيقات واختبار أمان سلسلة التوريد
Checkmarx · اشتراك لكل مطور
مجموعة اختبار أمان التطبيقات مع اختبار الأمان الثابت وتحليل تكوين البرمجيات واختبار الأمان الديناميكي لأمان تطبيقات شامل
Synopsys · اشتراك لكل مطور
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
تصعيد صلاحيات عبر وساطة وصول مفقودة
السريةيفشل تطبيق في التحقق من تفويض المستخدم في كل عملية، مما يسمح لمهاجم بتصعيد الصلاحيات بالوصول مباشرة إلى وظائف إدارية لأنه لم يتم تطبيق مبادئ التصميم الآمن مثل الوساطة المُنفذة.
تجاوز التحقق من المدخلات يؤدي إلى تنفيذ كود عن بُعد
السلامةيقبل تطبيق مدخلات المستخدم بدون تحقق أو تعقيم مناسب، مما يسمح لمهاجم بحقن حمولات خبيثة لأن البنية لم تُصمم بمبدأ عدم الثقة أبداً في مدخلات المستخدم.
سطح هجوم مفرط من ميزات تطبيق غير ضرورية
السريةيكشف تطبيق واجهات برمجة ونقاط نهاية تصحيح وواجهات إدارية غير ضرورية في الإنتاج لأن التصميم لم يتبع مبدأ تقليل سطح الهجوم.
الثغرات (عند غياب الإجراء الوقائي)
بنية التطبيق تفتقر إلى مبادئ التصميم الآمن
بدون تطبيق مبادئ مثل أقل الصلاحيات والتحقق من المدخلات وتقليل سطح الهجوم خلال مرحلة التصميم، تحتوي بنية التطبيق الأساسية على نقاط ضعف أمنية هيكلية.
عدم إنفاذ الوساطة على عمليات المستخدم
يعني غياب مبدأ الوساطة في تصميم التطبيق أن عمليات المستخدم لا يتم التحقق من تفويضها بشكل متسق، مما يمكن هجمات تصعيد الصلاحيات الأفقية والعمودية.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |