امنیت در BPMS فراگستر – بررسی صحت ورودی و خروجی
زمان تقریبی مطالعه: 2 دقیقه
پیرو انتشار مقالات قبلی در ارتباط با مبحث امنیت در BPMS فراگستر، در این مقاله قصد داریم به معیارهای موجود در حوزه بررسی صحت ورودی و خروجی این نرمافزار اشاره کنیم.
اغلب آسیبپذیری های امنیتی برنامههای کاربردی از ضعف بررسی صحت دادههای ورودی و خروجی بوجود میآید.
اغلب آسیبپذیری های امنیتی برنامههای کاربردی از ضعف بررسی صحت دادههای ورودی و خروجی بوجود میآید.
فاکتورهای امنیتی ورودی و خروجی در سیستم BPMS فراگستر
BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:
- نقاط ورودی، خروجی و سطوح امنیتی: تمام ورودیها، خروجیها و ناحیههای امن برنامهی کاربردی برای اعمال راهکارهای کنترلی باید مشخص شود.
- تطبیق دادههای ورودی: دادههای ورودی باید براساس نوع، مقدار، شکل، اندازه، محدوده و نیز پاکسازی ورودی براساس لیست کاراکترها بررسی و تطبیق داده شوند.
- کنترل متمرکز صحت دادههای ورودی: برای کنترل متمرکز خط مشیهای بررسی صحت ورودی، در سطح برنامهی کاربردی باید بصورت متمرکز و با استفاده از توابع و متدهای طراحی شده برای این منظور انجام شود.
- واسطهای کاربری مدیریتی: برنامهی کاربردی باید واسطهای کاربری لازم را برای تنظیم خط مشیهای امنیتی برای مدیر سیستم فراهم کند.
- عدم اعتماد به بررسی صحت ورودی در سمت کاربر: معماری برنامهی کاربردی باید بگونهای باشد که تنها به بررسی صحت ورودی در سمت کاربر اکتفا ننموده و صحت ورودی در سمت سرور نیز بررسی شود.
- رعایت قاعدهی دفاع در عمق برای بررسی صحت ورودی: بررسی صحت ورودی در تمامی لایههای مرورگر، برنامهی کاربردی و پایگاه داده، باید انجام گیرد.
- تطبیق دادههای خروجی: دادههای خروجی برنامههای کاربردی که از طرف کاربر فراهم شده است باید براساس نوع، مقدار، شکل، اندازه و محدوده و نیز پاکسازی خروجی براساس لیست کاراکترها و الگوهای بدنیت بررسی و تطبیق داده شده تا امکان سوء استفاده نفوذگران از این ناحیه جلوگیری گردد.
- جلوگیری از آسیبپذیری XSS: برنامهی کاربردی باید با استفاده از راهکارهای مناسب از قبیل کدگذاری، فیلتر کردن برچسبهای HTML و… از بوجود آمدن آسیبپذیری XSS جلوگیری کند.
- جلوگیری از آسیبپذیری SQL Injection: برنامهی کاربردی باید با استفاده از راهکارهای مناسب از قبیل فیلتر کردن کاراکترهای خاص، استفاده از رویههای ذخیره شدهی پارامتری شده و… از آسیبپذیری SQL Injection جلوگیری کند.
- بررسی صحت پارامترها: صحت پارامترها قبل از استفاده شدن براساس طول، نوع، مقدار و محدوده باید بررسی شود.
- مقدار دهی اولیهی متغیرها: برنامهکاربردی باید تمامی متغیرها را مقداردهی اولیه نماید.
- کنترل فیلدهای مخفی فرمهای HTML: برنامهی کاربردی باید صحت مبدا عامل تغییرات در فیلدهای مخفی فرم را بررسی کند.
سری مقالات امنیت در BPMS فراگستر:
