Please enable JavaScript.
Coggle requires JavaScript to display documents.
Audyt aplikacji webowej - Coggle Diagram
Audyt aplikacji webowej
dokumentacja aplikacji
wymagania funkcjonalne
wymagania nie funkcjonalne
standard OWASP ASVS
proces bezpiecznego wytwarzania oprogramowania
standardy bezpiecznego projektowania aplikacji
praktyki bezpiecznego wytwarzania kodu
szkolenia programistów
zarządzanie podatnościami
bezpieczenstwo kodu
procedury testowania bezpieczeństwa aplikacji
proces zarządzania podatnościami
analiza podatności
raportowanie znalezionych podatności
osobę odpowiedzialną za obsługę podatności
wyeliminowanie podatności
testowanie poprawki bezpieczeństwa
kontrola bezpieczeństwa kodu
analizy statyczne kodu
kontrola dostępu i autoryzowany dostęp
identyfikacja 1:N
Uwierzytelnienie 1:1
Autoryzacja (czy ta osoba ma prawo do systemu)
co może się stać? zagrożenia
uzyskanie dostępu do danych innych userow
zmiana haseł innemu serowi
uzyskanie dostępu pełnego do bazy danych
nieprawidłowe domyślne uprawnienia
poufne dane poprzez publiczne listingi katalogów
testssl
błędy kryptograficzne
TLS/HTTPS
stosowanie zalecanych algorytmów kryptograficznych
unikanie implementowania własnych algorytmów
zarządzanie kluczami
poprawne przechowywanie haseł
dokument nist 140/2
wstrzyknięcia kodu
sql injection
union-based (trzeba znać ilość kolumn)
error based
blind
blind time-based
cross site scripting (XSS)
insecure design
szczegółowe komunikaty o błędach w logach
walidacja tylko po stronie klienta
wrażliwe dane w parametrach GET
Odzyskiwanie haseł za pomocą pytań i odpowiedzi
brakujące szyfrowanie wrażliwych danych
poleganie na bezpieczeństwie poprzez ukycie
thread modeling
ocenić zakres
określić co może pójść nie tak
określić środki zaradcze lub zarządzać ryzykiem
ocenić swoją pracę
stosowanie zasad bezpiecznego projektowania aplikacji
najmniejsze wymagane uprawnienia
sprawdzanie poprawności operacji wykorzystywanej przez usera