Les codeurs vainquent la sécurité : Share & Learn Series - Problèmes de logique d'entreprise
Contrairement à la plupart des autres vulnérabilités que nous avons abordées dans cette série Partageons et apprenons, les problèmes de logique métier ne sont pas directement associés à des erreurs de codage. Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.
Des problèmes de logique d'entreprise peuvent survenir lorsqu'un utilisateur effectue une action imprévue lors de l'utilisation d'une application. Il peut s'agir de presque n'importe quoi, de l'annulation inattendue d'une commande, de l'application trop fréquente d'un code de réduction ou du simple fait de sauter une étape prévue et d'entreprendre une action que l'application ne sait pas comment gérer. L'exploitation des failles de la logique d'entreprise ne nécessite même pas de formation, il suffit d'un utilisateur malveillant doté d'un esprit curieux et prêt à sortir des sentiers battus.
Dans cet épisode, vous apprendrez
- Comment les attaquants exploitent les failles de la logique d'entreprise
- Pourquoi les applications présentant des failles dans la logique d'entreprise sont dangereuses
- Techniques permettant d'éviter les erreurs de logique d'entreprise.
Comment les attaquants exploitent-ils les problèmes de logique d'entreprise ?
Contrairement à la plupart des exploits, nous ne pouvons pas pointer vers des chaînes de code spécifiques qui pourraient causer cette vulnérabilité. Il s'agit plutôt d'actions d'utilisateurs qui n'ont pas été anticipées et que les programmes ne savent pas gérer. Prenons l'exemple d'une application bancaire qui permet aux utilisateurs de transférer de l'argent vers d'autres comptes. Mais au lieu d'envoyer de l'argent, un utilisateur malveillant tente d'envoyer un montant négatif sur un autre compte. Comment l'application bancaire va-t-elle réagir ? Va-t-elle se bloquer ? Refusera-t-elle le transfert ? Ou pourrait-elle renvoyer de l'argent à l'utilisateur qui a initié le transfert pour équilibrer ce montant négatif ?
Les sites de commerce électronique sont particulièrement, mais pas uniquement, susceptibles de présenter des failles dans la logique d'entreprise parce qu'ils sont conçus pour être utilisés par un grand nombre d'utilisateurs et qu'ils comportent de nombreux composants. Les utilisateurs qui annulent des commandes de manière inattendue, qui essaient d'appliquer plusieurs fois un même coupon ou même qui surchargent leur panier peuvent soumettre les applications à des conditions qui n'ont pas été anticipées. Il n'y a vraiment aucun moyen de savoir comment un programme réagira lorsqu'il sera confronté à une situation inconnue. Dans le meilleur des cas, un message d'erreur peut être généré, mais il n'y a aucune garantie qu'une application ne prendra pas une mesure pire, telle que l'offre d'une marchandise gratuite.
Pourquoi les problèmes de logique d'entreprise sont-ils dangereux ?
Les problèmes de logique d'entreprise peuvent être extrêmement dangereux car ils peuvent être exploités par n'importe qui, même par une personne n'ayant aucune formation en programmation ou en piratage informatique. Il suffit d'expérimenter et de prendre le temps de cliquer et d'essayer de trouver des failles dans la manière dont une application est conçue pour réagir. Et lorsqu'un utilisateur malveillant découvre une faille dans la logique commerciale d'un site, vous pouvez être sûr qu'il l'exploitera autant que possible.
Le plus grand danger est normalement d'ordre financier : un utilisateur peut acheter 20 téléviseurs à grand écran sans les payer, ou quelque chose de ce genre. Mais les failles dans la logique d'entreprise peuvent également être à l'origine d'autres problèmes. Par exemple, si la fonction de mot de passe protégeant un site ne sait pas quoi faire si un utilisateur appuie constamment sur "annuler", elle peut lui permettre de contourner le processus de connexion.
Il n'y a vraiment aucun moyen d'anticiper l'ampleur des dégâts qu'un problème de logique d'entreprise pourrait causer. Souvent, la première indication d'un problème survient longtemps après que les utilisateurs l'ont exploité.
Résolution des problèmes de logique d'entreprise
Malheureusement, l'utilisation d'outils courants tels que les scanners de vulnérabilité n'aidera pas à identifier ou à résoudre les problèmes de logique d'entreprise, étant donné que les tests de logique d'entreprise ne peuvent pas être facilement automatisés. La meilleure façon de les éviter est de mettre en œuvre une bonne planification, un traitement des erreurs et des tests pour les cas de test négatifs pendant le développement d'une application. Pour ce faire, il faut tout d'abord définir clairement un ensemble de règles de gestion comprenant toutes les actions possibles et souhaitées qu'une application est censée effectuer.
Armé d'un plan de règles de gestion, l'un des meilleurs moyens d'éviter que des failles dans la logique de gestion ne se glissent est de créer un organigramme montrant toutes les façons possibles dont les données et les transactions devraient circuler au sein d'une application. Il s'agit notamment de modéliser le comportement pour chaque cas où un utilisateur peut faire un choix ou saisir des données. Vérifiez constamment que les actions possibles dans le diagramme de flux correspondent aux fonctions du plan de règles métier.
Enfin, utilisez la modélisation des menaces pour aider à identifier les failles dans la logique d'entreprise au cours des phases de conception, de mise en œuvre et de test. En guise de sécurité, créez une action que le programme doit entreprendre s'il rencontre une situation qui n'a pas été spécifiquement anticipée. Il peut s'agir simplement de refuser l'action et d'alerter un administrateur sur le problème rencontré.
Plus d'informations sur Business Logic Problems
Pour en savoir plus, vous pouvez consulter les pages de l'OWASP sur les problèmes de logique commerciale. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Prêt à rechercher et à détruire les vulnérabilités de la logique d'entreprise dès maintenant ? Rendez-vous sur la plateforme et testez vos compétences : [Commencez ici]
Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à la plupart des autres vulnérabilités que nous avons abordées dans cette série Partageons et apprenons, les problèmes de logique métier ne sont pas directement associés à des erreurs de codage. Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.
Des problèmes de logique d'entreprise peuvent survenir lorsqu'un utilisateur effectue une action imprévue lors de l'utilisation d'une application. Il peut s'agir de presque n'importe quoi, de l'annulation inattendue d'une commande, de l'application trop fréquente d'un code de réduction ou du simple fait de sauter une étape prévue et d'entreprendre une action que l'application ne sait pas comment gérer. L'exploitation des failles de la logique d'entreprise ne nécessite même pas de formation, il suffit d'un utilisateur malveillant doté d'un esprit curieux et prêt à sortir des sentiers battus.
Dans cet épisode, vous apprendrez
- Comment les attaquants exploitent les failles de la logique d'entreprise
- Pourquoi les applications présentant des failles dans la logique d'entreprise sont dangereuses
- Techniques permettant d'éviter les erreurs de logique d'entreprise.
Comment les attaquants exploitent-ils les problèmes de logique d'entreprise ?
Contrairement à la plupart des exploits, nous ne pouvons pas pointer vers des chaînes de code spécifiques qui pourraient causer cette vulnérabilité. Il s'agit plutôt d'actions d'utilisateurs qui n'ont pas été anticipées et que les programmes ne savent pas gérer. Prenons l'exemple d'une application bancaire qui permet aux utilisateurs de transférer de l'argent vers d'autres comptes. Mais au lieu d'envoyer de l'argent, un utilisateur malveillant tente d'envoyer un montant négatif sur un autre compte. Comment l'application bancaire va-t-elle réagir ? Va-t-elle se bloquer ? Refusera-t-elle le transfert ? Ou pourrait-elle renvoyer de l'argent à l'utilisateur qui a initié le transfert pour équilibrer ce montant négatif ?
Les sites de commerce électronique sont particulièrement, mais pas uniquement, susceptibles de présenter des failles dans la logique d'entreprise parce qu'ils sont conçus pour être utilisés par un grand nombre d'utilisateurs et qu'ils comportent de nombreux composants. Les utilisateurs qui annulent des commandes de manière inattendue, qui essaient d'appliquer plusieurs fois un même coupon ou même qui surchargent leur panier peuvent soumettre les applications à des conditions qui n'ont pas été anticipées. Il n'y a vraiment aucun moyen de savoir comment un programme réagira lorsqu'il sera confronté à une situation inconnue. Dans le meilleur des cas, un message d'erreur peut être généré, mais il n'y a aucune garantie qu'une application ne prendra pas une mesure pire, telle que l'offre d'une marchandise gratuite.
Pourquoi les problèmes de logique d'entreprise sont-ils dangereux ?
Les problèmes de logique d'entreprise peuvent être extrêmement dangereux car ils peuvent être exploités par n'importe qui, même par une personne n'ayant aucune formation en programmation ou en piratage informatique. Il suffit d'expérimenter et de prendre le temps de cliquer et d'essayer de trouver des failles dans la manière dont une application est conçue pour réagir. Et lorsqu'un utilisateur malveillant découvre une faille dans la logique commerciale d'un site, vous pouvez être sûr qu'il l'exploitera autant que possible.
Le plus grand danger est normalement d'ordre financier : un utilisateur peut acheter 20 téléviseurs à grand écran sans les payer, ou quelque chose de ce genre. Mais les failles dans la logique d'entreprise peuvent également être à l'origine d'autres problèmes. Par exemple, si la fonction de mot de passe protégeant un site ne sait pas quoi faire si un utilisateur appuie constamment sur "annuler", elle peut lui permettre de contourner le processus de connexion.
Il n'y a vraiment aucun moyen d'anticiper l'ampleur des dégâts qu'un problème de logique d'entreprise pourrait causer. Souvent, la première indication d'un problème survient longtemps après que les utilisateurs l'ont exploité.
Résolution des problèmes de logique d'entreprise
Malheureusement, l'utilisation d'outils courants tels que les scanners de vulnérabilité n'aidera pas à identifier ou à résoudre les problèmes de logique d'entreprise, étant donné que les tests de logique d'entreprise ne peuvent pas être facilement automatisés. La meilleure façon de les éviter est de mettre en œuvre une bonne planification, un traitement des erreurs et des tests pour les cas de test négatifs pendant le développement d'une application. Pour ce faire, il faut tout d'abord définir clairement un ensemble de règles de gestion comprenant toutes les actions possibles et souhaitées qu'une application est censée effectuer.
Armé d'un plan de règles de gestion, l'un des meilleurs moyens d'éviter que des failles dans la logique de gestion ne se glissent est de créer un organigramme montrant toutes les façons possibles dont les données et les transactions devraient circuler au sein d'une application. Il s'agit notamment de modéliser le comportement pour chaque cas où un utilisateur peut faire un choix ou saisir des données. Vérifiez constamment que les actions possibles dans le diagramme de flux correspondent aux fonctions du plan de règles métier.
Enfin, utilisez la modélisation des menaces pour aider à identifier les failles dans la logique d'entreprise au cours des phases de conception, de mise en œuvre et de test. En guise de sécurité, créez une action que le programme doit entreprendre s'il rencontre une situation qui n'a pas été spécifiquement anticipée. Il peut s'agir simplement de refuser l'action et d'alerter un administrateur sur le problème rencontré.
Plus d'informations sur Business Logic Problems
Pour en savoir plus, vous pouvez consulter les pages de l'OWASP sur les problèmes de logique commerciale. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Prêt à rechercher et à détruire les vulnérabilités de la logique d'entreprise dès maintenant ? Rendez-vous sur la plateforme et testez vos compétences : [Commencez ici]
Contrairement à la plupart des autres vulnérabilités que nous avons abordées dans cette série Partageons et apprenons, les problèmes de logique métier ne sont pas directement associés à des erreurs de codage. Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.
Des problèmes de logique d'entreprise peuvent survenir lorsqu'un utilisateur effectue une action imprévue lors de l'utilisation d'une application. Il peut s'agir de presque n'importe quoi, de l'annulation inattendue d'une commande, de l'application trop fréquente d'un code de réduction ou du simple fait de sauter une étape prévue et d'entreprendre une action que l'application ne sait pas comment gérer. L'exploitation des failles de la logique d'entreprise ne nécessite même pas de formation, il suffit d'un utilisateur malveillant doté d'un esprit curieux et prêt à sortir des sentiers battus.
Dans cet épisode, vous apprendrez
- Comment les attaquants exploitent les failles de la logique d'entreprise
- Pourquoi les applications présentant des failles dans la logique d'entreprise sont dangereuses
- Techniques permettant d'éviter les erreurs de logique d'entreprise.
Comment les attaquants exploitent-ils les problèmes de logique d'entreprise ?
Contrairement à la plupart des exploits, nous ne pouvons pas pointer vers des chaînes de code spécifiques qui pourraient causer cette vulnérabilité. Il s'agit plutôt d'actions d'utilisateurs qui n'ont pas été anticipées et que les programmes ne savent pas gérer. Prenons l'exemple d'une application bancaire qui permet aux utilisateurs de transférer de l'argent vers d'autres comptes. Mais au lieu d'envoyer de l'argent, un utilisateur malveillant tente d'envoyer un montant négatif sur un autre compte. Comment l'application bancaire va-t-elle réagir ? Va-t-elle se bloquer ? Refusera-t-elle le transfert ? Ou pourrait-elle renvoyer de l'argent à l'utilisateur qui a initié le transfert pour équilibrer ce montant négatif ?
Les sites de commerce électronique sont particulièrement, mais pas uniquement, susceptibles de présenter des failles dans la logique d'entreprise parce qu'ils sont conçus pour être utilisés par un grand nombre d'utilisateurs et qu'ils comportent de nombreux composants. Les utilisateurs qui annulent des commandes de manière inattendue, qui essaient d'appliquer plusieurs fois un même coupon ou même qui surchargent leur panier peuvent soumettre les applications à des conditions qui n'ont pas été anticipées. Il n'y a vraiment aucun moyen de savoir comment un programme réagira lorsqu'il sera confronté à une situation inconnue. Dans le meilleur des cas, un message d'erreur peut être généré, mais il n'y a aucune garantie qu'une application ne prendra pas une mesure pire, telle que l'offre d'une marchandise gratuite.
Pourquoi les problèmes de logique d'entreprise sont-ils dangereux ?
Les problèmes de logique d'entreprise peuvent être extrêmement dangereux car ils peuvent être exploités par n'importe qui, même par une personne n'ayant aucune formation en programmation ou en piratage informatique. Il suffit d'expérimenter et de prendre le temps de cliquer et d'essayer de trouver des failles dans la manière dont une application est conçue pour réagir. Et lorsqu'un utilisateur malveillant découvre une faille dans la logique commerciale d'un site, vous pouvez être sûr qu'il l'exploitera autant que possible.
Le plus grand danger est normalement d'ordre financier : un utilisateur peut acheter 20 téléviseurs à grand écran sans les payer, ou quelque chose de ce genre. Mais les failles dans la logique d'entreprise peuvent également être à l'origine d'autres problèmes. Par exemple, si la fonction de mot de passe protégeant un site ne sait pas quoi faire si un utilisateur appuie constamment sur "annuler", elle peut lui permettre de contourner le processus de connexion.
Il n'y a vraiment aucun moyen d'anticiper l'ampleur des dégâts qu'un problème de logique d'entreprise pourrait causer. Souvent, la première indication d'un problème survient longtemps après que les utilisateurs l'ont exploité.
Résolution des problèmes de logique d'entreprise
Malheureusement, l'utilisation d'outils courants tels que les scanners de vulnérabilité n'aidera pas à identifier ou à résoudre les problèmes de logique d'entreprise, étant donné que les tests de logique d'entreprise ne peuvent pas être facilement automatisés. La meilleure façon de les éviter est de mettre en œuvre une bonne planification, un traitement des erreurs et des tests pour les cas de test négatifs pendant le développement d'une application. Pour ce faire, il faut tout d'abord définir clairement un ensemble de règles de gestion comprenant toutes les actions possibles et souhaitées qu'une application est censée effectuer.
Armé d'un plan de règles de gestion, l'un des meilleurs moyens d'éviter que des failles dans la logique de gestion ne se glissent est de créer un organigramme montrant toutes les façons possibles dont les données et les transactions devraient circuler au sein d'une application. Il s'agit notamment de modéliser le comportement pour chaque cas où un utilisateur peut faire un choix ou saisir des données. Vérifiez constamment que les actions possibles dans le diagramme de flux correspondent aux fonctions du plan de règles métier.
Enfin, utilisez la modélisation des menaces pour aider à identifier les failles dans la logique d'entreprise au cours des phases de conception, de mise en œuvre et de test. En guise de sécurité, créez une action que le programme doit entreprendre s'il rencontre une situation qui n'a pas été spécifiquement anticipée. Il peut s'agir simplement de refuser l'action et d'alerter un administrateur sur le problème rencontré.
Plus d'informations sur Business Logic Problems
Pour en savoir plus, vous pouvez consulter les pages de l'OWASP sur les problèmes de logique commerciale. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Prêt à rechercher et à détruire les vulnérabilités de la logique d'entreprise dès maintenant ? Rendez-vous sur la plateforme et testez vos compétences : [Commencez ici]
Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Voir le rapportRéservez une démonstrationJaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Contrairement à la plupart des autres vulnérabilités que nous avons abordées dans cette série Partageons et apprenons, les problèmes de logique métier ne sont pas directement associés à des erreurs de codage. Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.
Des problèmes de logique d'entreprise peuvent survenir lorsqu'un utilisateur effectue une action imprévue lors de l'utilisation d'une application. Il peut s'agir de presque n'importe quoi, de l'annulation inattendue d'une commande, de l'application trop fréquente d'un code de réduction ou du simple fait de sauter une étape prévue et d'entreprendre une action que l'application ne sait pas comment gérer. L'exploitation des failles de la logique d'entreprise ne nécessite même pas de formation, il suffit d'un utilisateur malveillant doté d'un esprit curieux et prêt à sortir des sentiers battus.
Dans cet épisode, vous apprendrez
- Comment les attaquants exploitent les failles de la logique d'entreprise
- Pourquoi les applications présentant des failles dans la logique d'entreprise sont dangereuses
- Techniques permettant d'éviter les erreurs de logique d'entreprise.
Comment les attaquants exploitent-ils les problèmes de logique d'entreprise ?
Contrairement à la plupart des exploits, nous ne pouvons pas pointer vers des chaînes de code spécifiques qui pourraient causer cette vulnérabilité. Il s'agit plutôt d'actions d'utilisateurs qui n'ont pas été anticipées et que les programmes ne savent pas gérer. Prenons l'exemple d'une application bancaire qui permet aux utilisateurs de transférer de l'argent vers d'autres comptes. Mais au lieu d'envoyer de l'argent, un utilisateur malveillant tente d'envoyer un montant négatif sur un autre compte. Comment l'application bancaire va-t-elle réagir ? Va-t-elle se bloquer ? Refusera-t-elle le transfert ? Ou pourrait-elle renvoyer de l'argent à l'utilisateur qui a initié le transfert pour équilibrer ce montant négatif ?
Les sites de commerce électronique sont particulièrement, mais pas uniquement, susceptibles de présenter des failles dans la logique d'entreprise parce qu'ils sont conçus pour être utilisés par un grand nombre d'utilisateurs et qu'ils comportent de nombreux composants. Les utilisateurs qui annulent des commandes de manière inattendue, qui essaient d'appliquer plusieurs fois un même coupon ou même qui surchargent leur panier peuvent soumettre les applications à des conditions qui n'ont pas été anticipées. Il n'y a vraiment aucun moyen de savoir comment un programme réagira lorsqu'il sera confronté à une situation inconnue. Dans le meilleur des cas, un message d'erreur peut être généré, mais il n'y a aucune garantie qu'une application ne prendra pas une mesure pire, telle que l'offre d'une marchandise gratuite.
Pourquoi les problèmes de logique d'entreprise sont-ils dangereux ?
Les problèmes de logique d'entreprise peuvent être extrêmement dangereux car ils peuvent être exploités par n'importe qui, même par une personne n'ayant aucune formation en programmation ou en piratage informatique. Il suffit d'expérimenter et de prendre le temps de cliquer et d'essayer de trouver des failles dans la manière dont une application est conçue pour réagir. Et lorsqu'un utilisateur malveillant découvre une faille dans la logique commerciale d'un site, vous pouvez être sûr qu'il l'exploitera autant que possible.
Le plus grand danger est normalement d'ordre financier : un utilisateur peut acheter 20 téléviseurs à grand écran sans les payer, ou quelque chose de ce genre. Mais les failles dans la logique d'entreprise peuvent également être à l'origine d'autres problèmes. Par exemple, si la fonction de mot de passe protégeant un site ne sait pas quoi faire si un utilisateur appuie constamment sur "annuler", elle peut lui permettre de contourner le processus de connexion.
Il n'y a vraiment aucun moyen d'anticiper l'ampleur des dégâts qu'un problème de logique d'entreprise pourrait causer. Souvent, la première indication d'un problème survient longtemps après que les utilisateurs l'ont exploité.
Résolution des problèmes de logique d'entreprise
Malheureusement, l'utilisation d'outils courants tels que les scanners de vulnérabilité n'aidera pas à identifier ou à résoudre les problèmes de logique d'entreprise, étant donné que les tests de logique d'entreprise ne peuvent pas être facilement automatisés. La meilleure façon de les éviter est de mettre en œuvre une bonne planification, un traitement des erreurs et des tests pour les cas de test négatifs pendant le développement d'une application. Pour ce faire, il faut tout d'abord définir clairement un ensemble de règles de gestion comprenant toutes les actions possibles et souhaitées qu'une application est censée effectuer.
Armé d'un plan de règles de gestion, l'un des meilleurs moyens d'éviter que des failles dans la logique de gestion ne se glissent est de créer un organigramme montrant toutes les façons possibles dont les données et les transactions devraient circuler au sein d'une application. Il s'agit notamment de modéliser le comportement pour chaque cas où un utilisateur peut faire un choix ou saisir des données. Vérifiez constamment que les actions possibles dans le diagramme de flux correspondent aux fonctions du plan de règles métier.
Enfin, utilisez la modélisation des menaces pour aider à identifier les failles dans la logique d'entreprise au cours des phases de conception, de mise en œuvre et de test. En guise de sécurité, créez une action que le programme doit entreprendre s'il rencontre une situation qui n'a pas été spécifiquement anticipée. Il peut s'agir simplement de refuser l'action et d'alerter un administrateur sur le problème rencontré.
Plus d'informations sur Business Logic Problems
Pour en savoir plus, vous pouvez consulter les pages de l'OWASP sur les problèmes de logique commerciale. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .
Prêt à rechercher et à détruire les vulnérabilités de la logique d'entreprise dès maintenant ? Rendez-vous sur la plateforme et testez vos compétences : [Commencez ici]
Table des matières
Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.
Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.
Réservez une démonstrationTéléchargerRessources pour vous aider à démarrer
Évaluation comparative des compétences en matière de sécurité : Rationalisation de la conception sécurisée dans l'entreprise
Le mouvement "Secure-by-Design" (conception sécurisée) est l'avenir du développement de logiciels sécurisés. Découvrez les éléments clés que les entreprises doivent garder à l'esprit lorsqu'elles envisagent une initiative de conception sécurisée.
DigitalOcean réduit sa dette de sécurité avec Secure Code Warrior
L'utilisation par DigitalOcean de la formation Secure Code Warrior a considérablement réduit la dette de sécurité, permettant aux équipes de se concentrer davantage sur l'innovation et la productivité. L'amélioration de la sécurité a renforcé la qualité des produits et l'avantage concurrentiel de l'entreprise. À l'avenir, le score de confiance SCW les aidera à améliorer leurs pratiques de sécurité et à continuer à stimuler l'innovation.
Ressources pour vous aider à démarrer
La note de confiance révèle la valeur des initiatives d'amélioration de la sécurité par la conception
Nos recherches ont montré que la formation au code sécurisé fonctionne. Le Trust Score, qui utilise un algorithme s'appuyant sur plus de 20 millions de points de données d'apprentissage issus du travail de plus de 250 000 apprenants dans plus de 600 organisations, révèle son efficacité à réduire les vulnérabilités et la manière de rendre l'initiative encore plus efficace.
Sécurité réactive contre sécurité préventive : La prévention est un meilleur remède
L'idée d'apporter une sécurité préventive aux codes et systèmes existants en même temps qu'aux applications plus récentes peut sembler décourageante, mais une approche "Secure-by-Design", mise en œuvre en améliorant les compétences des développeurs, permet d'appliquer les meilleures pratiques de sécurité à ces systèmes. C'est la meilleure chance qu'ont de nombreuses organisations d'améliorer leur sécurité.
Les avantages de l'évaluation des compétences des développeurs en matière de sécurité
L'importance croissante accordée au code sécurisé et aux principes de conception sécurisée exige que les développeurs soient formés à la cybersécurité dès le début du cycle de développement durable, et que des outils tels que le Trust Score de Secure Code Warriorles aident à mesurer et à améliorer leurs progrès.
Assurer le succès des initiatives de conception sécurisée de l'entreprise
Notre dernier document de recherche, Benchmarking Security Skills : Streamlining Secure-by-Design in the Enterprise est le résultat d'une analyse approfondie d'initiatives réelles de conception sécurisée au niveau de l'entreprise, et de l'élaboration d'approches de meilleures pratiques basées sur des conclusions fondées sur des données.