Təhlükəsiz Kiber Dünyaya Giriş

Telegrama üzv ol

Yeni Əlavə olunanlar:

OWASP nedirOWASP (Open Web Application Security Project) təhlükəsizlik standartları

Mehran Hematyar (Hemmatyar) 10 mins0

OWASP nedir

Açıq Veb Tətbiq Təhlükəsizliyi Layihəsi və ya OWASP, veb proqramlarının təhlükəsizliyinə həsr olunmuş beynəlxalq qeyri-kommersiya təşkilatıdır. OWASP-ın əsas prinsiplərindən biri odur ki, onların bütün materialları sərbəst şəkildə və vebsaytlarında asanlıqla əldə oluna bilər və bu, hər kəsə öz veb tətbiqi təhlükəsizliyini təkmilləşdirməyə imkan verir. Onların təklif etdiyi materiallara sənədlər, alətlər, videolar və forumlar daxildir. Bəlkə də onların ən məşhur layihəsi OWASP Top 10-dur.

OWASP Top 10 ən kritik 10 riskə diqqət yetirərək, veb proqramların təhlükəsizliyi üçün təhlükəsizlik problemlərini əks etdirən müntəzəm olaraq yenilənən hesabatdır. Hesabat dünyanın hər yerindən təhlükəsizlik üzrə ekspertlər qrupu tərəfindən hazırlanır. OWASP ilk 10-a “maarifləndirmə sənədi” kimi istinad edir və onlar bütün şirkətlərə təhlükəsizlik risklərini minimuma endirmək və yaxud azaltmaq üçün hesabatı öz proseslərinə daxil etməyi tövsiyə edir.

Veb Tətbiqləri qorumaq üçün OWASP Tətbiq Təhlükəsizliyi Doğrulama Standartından (ASVS) necə istifadə etmək olar, OWASP ASVS nədir?

OWASP Tətbiq Təhlükəsizliyi Yoxlama Standartı veb proqramların və xidmətlərin təhlükəsizliyini qiymətləndirmək üçün çərçivə təmin edən açıq proqram təhlükəsizliyi standartıdır. ASVS-in məqsədi təşkilatlara öz tətbiqlərinin təhlükəsizliyinə inam səviyyəsini yaratmağa və riskləri müəyyən edib azaltmağa kömək etməkdir. Təlimatlara veb proqramların və xidmətlərin təhlükəsizliyini qiymətləndirmək üçün istifadə edə biləcəyiniz bir sıra təhlükəsizlik tələbləri daxildir. Bu tələblər autentifikasiya, avtorizasiya, məlumat təhlükəsizliyi, sessiyanın idarə edilməsi və proqram təhlükəsizliyini təhlükə altına alan kod zəiflikləri daxil olmaqla bir çox təhlükəsizlik problemlərini əhatə edir.

ASVS-nin müxtəlif səviyyələrini başa düşək

Fərqli proqram növlərinin müxtəlif təhlükəsizlik tələbləri olacaq. Təhlükəsizlik “səviyyələri” malik olduğunuz resursların miqdarına və tətbiqlərinizin hansı məlumatları idarə etdiyinə əsaslanaraq təhlükəsizlik tələblərini prioritetləşdirməyin faydalı yoludur.

Səviyyə 1 – Basic ən əsas təhlükəsizlik səviyyəsini təmin edir və adətən aşağı təhlükəsizlik riskləri olan kiçik proqramlar üçün kifayətdir. Tətbiq Təhlükəsizliyinin Yoxlanması Standart Səviyyə 1 tez-tez həssas məlumatları idarə etməyən proqramlara təyin edilir, bu da onları hücumlar üçün daha az hədəf edir.

Səviyyə 2 – Standart daha yüksək səviyyəli təhlükəsizlik təmin edir və adətən orta təhlükəsizlik riskləri olan proqramlar üçün tələb olunur. Bura tez-tez əməliyyatlar aparan və ya zərərli istifadəçilər tərəfindən maliyyə qazanc əldə etmək üçün istifadə edilə bilən həssas məlumatları idarə edən proqramlar daxildir. Səviyyə 2 adətən inyeksiyalara, doğrulamaya və autentifikasiyaya əsaslanan hücumlara həssas olan proqramlara təyin edilir.

Səviyyə 3 – Qabaqcıl ən yüksək təhlükəsizlik səviyyəsini təmin edir və adətən yüksək təhlükəsizlik riskləri olan proqramlar üçün tələb olunur. Səviyyə 3 ən yüksək səviyyəli qorunma tələb edir və şəxsi məlumatlar, maliyyə və hüquqi sənədlər kimi yüksək həssas məlumatları ehtiva edir. Səviyyə 3 üçün təhlükəsizlik tez-tez tətbiq boru kəmərinin başlanğıcında, birbaşa istehsalın tətbiqinə qədər, ikinci dərəcəli ehtiyat tədbiri kimi avtomatlaşdırılmış monitorinqlə inteqrasiya olunur.

Hər səviyyə öz sələfindən tələbləri miras alır. Səviyyə 2 tələblərinin yerinə yetirilməsi üçün Səviyyə 1 tələbləri də təmin edilməlidir. Eynilə, proqram təminatının 3-cü səviyyəyə uyğun olması üçün o, 1 və 2-ci səviyyələrə də uyğun olmalıdır.

OWASP Tətbiq Təhlükəsizliyi Yoxlama Standartının strukturu

Rəsmi 4.0 versiyası 14 fəsildən ibarətdir və proqram təminatının inkişafı ilə bağlı qarşılaşa biləcəyiniz hər şeyi əhatə edir.

Veb tətbiqinizi qorumaq üçün OWASP ASVS-dən necə istifadə etmək olar

Təhlükəsizlik performans göstəricilərinizi təkmilləşdirin:

Tətbiq təhlükəsizliyinə nəzarətin həyata keçirilməsində və əlavə işə ehtiyac duyulan sahələrin müəyyən edilməsində təşkilatınızın irəliləyişini ölçmək üçün bu təlimatlardan istifadə edə bilərsiniz. Bu təlimatları təhlükəsizlik performansı göstəricisi kimi istifadə etməklə, təşkilatlar təhlükəsizlik nəzarəti və planlarında boşluqları daha asanlıqla tapa və onların dərhal təkmilləşdirilməsini təmin edə bilərlər.

Təhlükəsizliyi təmin etmək üçün OWASP ASVS-dən bələdçi kimi istifadə də nüfuzunuz üçün faydalı ola bilər. OWASP qeyri-kommersiya və satıcı üçün neytral təşkilat olduğu üçün heç bir satıcıya, yoxlayıcıya və ya proqram təminatına sertifikat təqdim etmir.

Mehran Hematyar (Hemmatyar)

Ph.D (c) Mikrotik Cisco Official Trainer CyberSecurity Activist AzTU - UNEC - BMU - BANM Senior Lecturer

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Articles

Qaçırmış Ola Bilərsiniz