پیش فرض ها می توانند شما را غرق کنند
TL;DR: پاسخ های ناشناخته را غیرمجاز تلقی کنید، نه معتبر.
مشکلات
- خطرات امنیتی
- نادیده گرفتن موارد ناشناخته
- اشتباه تفسیر
- پیشفرض به حالتهای معتبر
- عدم تطابق مجوزها
- ثبت نشدن رویدادها
- پتانسیل بهره برداری
راه حل ها
- تمام پاسخ ها را در برابر مجموعه بسته ای از کدهای شناخته شده اعتبار سنجی کنید.
- پیشفرض (و ناشناخته) تا غیرمجاز یا حذف پیشفرضها.
- هر مورد ناهماهنگ یا غیرمنتظره را برای تجزیه و تحلیل ثبت کنید.
- تست با سناریوهای لبه.
- برای جلوگیری از کدهای قدیمی، استخرهای پاسخ را به طور مرتب با پردازنده ها همگام کنید.
- روی امنیت تمرکز کنید و آن را تبدیل به یک فرآیند به چپ کنید.
- طراحی سیستم هایی با انعطاف پذیری در تغییر برای رسیدگی به سناریوهای در حال تحول.
زمینه
امروز روز امنیت رایانه است و هر برنامه نویسی باید مسئولیت خود را بپذیرد.
تصور کنید یک برنامه کاربردی فروش را مدیریت می کند که برای انجام تراکنش ها به مجموعه های پاسخ از پردازنده های کارت اعتباری متکی است.
هر پردازنده کارت اعتباری کدهای پاسخ از پیش تعریف شده را برای موقعیت های مختلف مانند موجودی ناکافی یا کارت های منقضی شده ارائه می دهد.
مشکل زمانی شروع می شود که یک پردازنده یک کد پاسخ جدید برای تراکنش های رد شده اضافه می کند اما به پلتفرم اطلاع نمی دهد.
برنامه کد جدید را نمی شناسد، به طور پیش فرض آن را به عنوان “یافت نشد” تلقی می کند و خرید را مجاز می کند.
کاربران متوجه این نقص شده و از آن برای ایجاد …