OWASP in het GIP

Geplaatst dooryannick169Geplaatst inGeen categorie

Er zijn heel wat maatregelen die kunnen genomen worden binnen het Geïntegreerd project. En met heel wat bedoel ik eigenlijk een 9 bladzijden tellende lijst vol met maatregels in een soort van checklist. Deze checklist is verdeeld in verschillende categorieën. Deze categorieën bespreek ik hieronder, samen met de maatregelen die er tot horen en ik kan gebruiken voor mijn geïntegreerd project.

Input Validation

Input validation gaat over, en ik denk dat dat eigenlijk wel duidelijk is, de validatie of controle van de input van de gebruiker. Hieronder een aantal maatregelen die hiertoe horen.

  • In plaats van de input data op verschillende plaatsen te valideren, kun je het best alle data valideren in een soort van centrale validatie post.
  • De validatie kan zelfs in de simpele dingen zitten: bijvoorbeeld als je arrays, een soort van groepjes van gegevens, of lists, hetzelfde maar dan makkelijker om mee te werken, hebt, kun je deze helemaal checken in plaats van alleen hetgeen wat jij denkt dat belangrijk is. Bij input van een stuk tekst kun je, bijvoorbeeld voor een gebruikersnaam of paswoord, de lengte van het stuk tekst controleren.
  • Ook een heel simpele maatregel is gewoon checken of de soort van input wel juist is. Hiermee wil ik zeggen dat je gaat controleren of de gebruiker geen stuk tekst ingeeft als jij om een getal vraagt.

Output Encoding

Output Encoding is eigenlijk dat je gaat controleren of de output, de gevraagde informatie, wel de juiste is en wel ma gegeven worden aan deze gebruiker. Hieronder een korte lijst van maatregelen.

  • Zet alle onvertrouwde output in quarantaine op de opdracht prompt van het system operating systeem, in plaats van direct alle output direct door te geven.
  • Test eerst alle output op een vertrouwd systeem, zoals een server.

Authentication en Password Management

Authentication en Password Management betekent eigenlijk dat je een gebruikersnaam en wachtwoord gaat vragen bij het inloggen op de applicatie. Je kunt hier zo ver mee gaan als je wilt, maar natuurlijk is je applicatie veiliger als hier verder in gaat. Hieronder enkele maatregelen.

  • Vraag een gebruikersnaam en wachtwoord voor elke pagina in je applicatie, behalve degenen die voor het publiek toegankelijk zijn.
  • Alle authenticatie, controle van gebruikersnaam en wachtwoord, moet gebeuren op een vertrouwd systeem, zoals de server.

Session Management

Session Management betekent eigenlijk dat je sessies gaat maken voor een gebruiker. Dit wilt zeggen dat de gebruiker na een bepaalde tijd onactief geweest te zijn op de applicatie, terug moet inloggen. Hieronder een aantal maatregelen.

  • Gebruik de session tool van het framework of de server waar je mee werkt. Deze zijn de enige waarop je kunt vertrouwen dat ze veilig zijn.
  • De creatie van de session id moet altijd op een vertrouwd systeem gebeuren, bijvoorbeeld de server.

Plaats een reactie

Ontwerp een vergelijkbare site met WordPress.com
Aan de slag