دسترسی کنترل شده و حوزه کاربر در طراحی اپلیکیشن

یک کدام از اشتباهات امنیتی دشوارتر برای آزمایش در یک نرم‌افزار، در دست گرفتن طراحی اپلیکیشن در مشهد دسترسی خطا میباشد. ابزارهای آزمایش اتوماتیک برای کشف کردن قسمت‌هایی از نرم افزار که مخاطب نباید به آن دسترسی داشته باشد دارنده قابلیت و امکان محدودی میباشند. براین اساس این عمل اکثر زمان ها با آزمایش دستی یا این که پژوهش سورس کد برای یافتن آن شکل میگیرد.

این زخم‌پذیری را در اوایل چرخه پیشرفت اپ، هنگامی که تصمیمات معماری گرفته می‌گردد، در لحاظ بگیرید. از این پیشین شما نمی‌توانید به آسانی کلیدهای صاحب کار را در یک سطح بالا فارغ دسترس قرار دهید و امیدوار باشید که هیچ کس نردبان نداشته باشد.

زخم‌پذیری Broken access control در OWASP Top 10 وجود دارااست، که در باب انواع متفاوت آن به جزئیات بیشتری پرداخته میباشد. به عنوان مثال اپلیکیشن‌ای را با دو سطح دسترسی در لحاظ بگیرید: administrators و users. گسترش‌دهندگان می خواهند یک خصوصیت نو (قابلیت تعدیل یا این که بازداشتن یوزرها) تهیه و تنظیم نمایند، با این مقصود که صرفا administrators اذن به کارگیری از آن را داشته باشد.

در حالتی که از زخم‌پذیری‌های احتمالی در دست گرفتن دسترسی مطلع می باشید، ممکن میباشد تصمیم بگیرید خصوصیت تعدیل را در یک حوزه غیروابسته از فضای قابل دسترس برای یوزرها بسازید. این ممکن میباشد در دامین گوناگون باشد یا این که تحت عنوان بخشی از مدلی که یوزرها آن را به اشتراک نمی‌گذارند باشد. این دستور خطر تنظیمات خطا در اختیار گرفتن دسترسی را کاهش می دهد یا این که زخم‌پذیری صعود امتیاز ممکن میباشد به استفاده کننده اذن دهد تا به طور نامناسب بعدا به خصوصیت‌های تعدیل دسترسی یابد.

اما در اختیار گرفتن دسترسی قدرتمند در نرم افزار نیاز به جانبداری بیشتر داراست تا بتواند موءثر باشد. عواملی مانند توکن‌های حساس، یا این که کلیدهای منتقل گردیده تحت عنوان پارامترهای URL را در حیث بگیرید. با این وجود،‌ با پیش بینی جواز (authorization) در مرحله معماری،‌ نرم افزار را ایمن ساخته تا بهبودهای بعدی را آسوده‌خیس بسازید.

اصول امنیتی برای حداکثر سود‌مندی

پیشرفت‌دهندگان با گزینش یک کادر‌ورک عالی میتوانند از رسیدگی فنی مازاد خودداری نمایند. به همین ترتیب، پیشرفت‌دهندگان میتوانند با دور اندیشی از زخم‌پذیری‌های رایج و تصمیمات معماری از رسیدگی‌های امنیتی پرهیز نمایند. یک منبع بسیار ظریف‌خیس راجع‌به طریق ساخت امنیت در نرم افزار از آغاز، OWASP Application Security Verification Standard میباشد که یک راهنمای بهتر میباشد.