8. URL-ga kirishni cheklab qo'ymaslik / Buzilgan kirishni boshqarish
URL manziliga kirishni cheklab qo'ymaslik ruxsatsiz foydalanuvchilarga cheklangan sahifalar va resurslarga kirishga imkon beruvchi tegishli kirish boshqaruvlarining etishmasligini anglatadi. Bu tajovuzkorlarga maxfiy ma'lumotlarga kirishga va tizimni buzishga imkon beradi.
Ushbu xavfsizlik tahdidi asosan o'xshash va biz ilgari muhokama qilgan IDOR zaifliklari bilan bog'liq. Ikkalasini farqlovchi asosiy omil shundaki, IDOR tajovuzkorga ma'lumotlar bazasidagi ma'lumotlarga kirish huquqini beradi, URL manziliga kirishni cheklamaslik esa tajovuzkorga har qanday oddiy foydalanuvchi uchun mavjud bo'lmasligi kerak bo'lgan maxsus funktsiyalar va xususiyatlarga kirish imkonini beradi.
Buni quyidagi qadamlar bilan kamaytirishingiz mumkin:
Autentifikatsiya va avtorizatsiya jarayonlarini o'rnatish orqali tegishli kirish nazoratini amalga oshiring, bu faqat avtorizatsiya qilingan foydalanuvchilarning ma'lum resurslar yoki funksiyalarga kirishiga ishonch hosil qilish.
Rolga asoslangan avtorizatsiyadan foydalaning. Majburiy mexanizm sukut bo'yicha barcha kirishlarni rad etishi kerak, bu har bir sahifaga kirish uchun ma'lum foydalanuvchilarga va rollarga aniq grantlarni talab qiladi.
Foydalanuvchi veb-ilovasidan foydalanishning tegishli bosqichlarida tegishli avtorizatsiya choralarini amalga oshiring.
Zamonaviy veb-ramkalarga o'rnatilgan ko'plab marshrutlash kutubxonalari va marshrutlash mexanizmlari sukut bo'yicha bundan himoya qiladi. Ilova marshruti to'g'ri sozlanganligiga ishonch hosil qilish orqali ushbu turdagi zaifliklarni butunlay oldini olish mumkin.
9. O'zaro manbalar bilan manba almashish (CORS) noto'g'ri konfiguratsiyasi
Cross-Origin Resource Sharing (CORS) veb-serverga qaysi domenlarga o'z resurslariga kirishga ruxsat berilganligini belgilash imkonini beruvchi xavfsizlik xususiyatidir. Biroq, agar CORS noto'g'ri sozlangan bo'lsa, u tajovuzkorlarga boshqa manbadan cheklangan resurslarga kirishga ruxsat berishi mumkin. Bu ruxsatsiz foydalanish mumkin bo'lgan xizmatlar orqali ma'lumotlarni oshkor qilishi mumkin.
Buni quyidagi qadamlar bilan kamaytirishingiz mumkin:
CORS sarlavhalarini to'g'ri sozlang.
CORS-ni to'g'ri sozlashingizga yordam berish uchun CORS sarlavhalarini sozlash uchun ishlatish uchun qulay interfeysni ta'minlovchi CORS kutubxonalaridan foydalaning.
Ko'pgina server tomonidagi ramkalar va platformalar ishlab chiquvchilarga o'z xizmatlari uchun CORSni to'g'ri sozlashda yordam berishi mumkin. Ishlab chiquvchilar CORSni o'zlari tanlagan doirada qanday sozlash mumkinligini bilishlari kerak. CORS xavfsizligi noto'g'ri konfiguratsiyasining keng tarqalgan sabablaridan biri shundaki, ishlab chiquvchilar mahalliy dasturlarni yaratganda, ular osonroq ishlab chiqish uchun butunlay ochiq CORS siyosatini o'rnatadilar. Ushbu siyosatlarning ishlab chiqarish kodeksiga kiritilmasligini ta'minlash juda muhimdir.
| 