Comments 3
Что-то я не понял «наезд» на OWASP и других.
> Ниже приведен мой способ деления уязвимостей по категориям.…
Мой?!
> 1. Нарушение в обособлении данных от инструкций
OWASP TOP10, A1: Injections — «Injection flaws, such as SQL, OS, XXE, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query...»
>2. Логические ошибки в приложении
OWASP, A7 – Insufficient Attack Protection: «The majority of applications and APIs lack the basic ability to detect, prevent, and respond to both manual and automated attacks. Attack protection goes far beyond basic input validation… „
>3. Рабочая среда вашего приложения
OWASP, A5 Security misconfiguration: “Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, platform, etc. „
> 4. Уязвимость шифрования
OWASP, A6 – Sensitive Data Exposure: “Many web applications and APIs do not properly protect sensitive data, such as financial, healthcare, and PII.… Sensitive data deserves extra protection such as encryption at rest or in transit, as well as special precautions when exchanged with the browser»
Стоит сначала почитать Пастернака, прежде, чем осуждать?
> Ниже приведен мой способ деления уязвимостей по категориям.…
Мой?!
> 1. Нарушение в обособлении данных от инструкций
OWASP TOP10, A1: Injections — «Injection flaws, such as SQL, OS, XXE, and LDAP injection occur when untrusted data is sent to an interpreter as part of a command or query...»
>2. Логические ошибки в приложении
OWASP, A7 – Insufficient Attack Protection: «The majority of applications and APIs lack the basic ability to detect, prevent, and respond to both manual and automated attacks. Attack protection goes far beyond basic input validation… „
>3. Рабочая среда вашего приложения
OWASP, A5 Security misconfiguration: “Good security requires having a secure configuration defined and deployed for the application, frameworks, application server, web server, database server, platform, etc. „
> 4. Уязвимость шифрования
OWASP, A6 – Sensitive Data Exposure: “Many web applications and APIs do not properly protect sensitive data, such as financial, healthcare, and PII.… Sensitive data deserves extra protection such as encryption at rest or in transit, as well as special precautions when exchanged with the browser»
Стоит сначала почитать Пастернака, прежде, чем осуждать?
ну А7 это точно не про бизнес логику. это скорее про wafы
Пожалуй, согласен. Но «логические ошибки» вообще довольно широкая формулировка, под которую много можно напихать. Исходный автор включает туда в т.ч. и input validation, но тогда сюда же все инъекции надо включать.
Суть не в этом, я просто хотел показать, что даже тот же топ OWASP'a покрывает значительно бОльше векторов и, на мой взгляд, намного логичнее (хотя и не без вопросов), чем вот это представленное нечто. Которое больше похоже на rewrite невысокого качества. Ну правда ведь.
Суть не в этом, я просто хотел показать, что даже тот же топ OWASP'a покрывает значительно бОльше векторов и, на мой взгляд, намного логичнее (хотя и не без вопросов), чем вот это представленное нечто. Которое больше похоже на rewrite невысокого качества. Ну правда ведь.
Sign up to leave a comment.
Краткое введение в безопасность приложений