Blog

Les codeurs vainquent la sécurité : Share & Learn Series - Problèmes de logique d'entreprise

Jaap Karan Singh
Publié le 28 mars 2019

Contrairement à la plupart des autres vulnérabilités que nous avons abordées dans cette série Partageons et apprenons, les problèmes de logique métier ne sont pas directement associés à des erreurs de codage. Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.

Des problèmes de logique d'entreprise peuvent survenir lorsqu'un utilisateur effectue une action imprévue lors de l'utilisation d'une application. Il peut s'agir de presque n'importe quoi, de l'annulation inattendue d'une commande, de l'application trop fréquente d'un code de réduction ou du simple fait de sauter une étape prévue et d'entreprendre une action que l'application ne sait pas comment gérer. L'exploitation des failles de la logique d'entreprise ne nécessite même pas de formation, il suffit d'un utilisateur malveillant doté d'un esprit curieux et prêt à sortir des sentiers battus.

Dans cet épisode, vous apprendrez

  • Comment les attaquants exploitent les failles de la logique d'entreprise
  • Pourquoi les applications présentant des failles dans la logique d'entreprise sont dangereuses
  • Techniques permettant d'éviter les erreurs de logique d'entreprise.

Comment les attaquants exploitent-ils les problèmes de logique d'entreprise ?

Contrairement à la plupart des exploits, nous ne pouvons pas pointer vers des chaînes de code spécifiques qui pourraient causer cette vulnérabilité. Il s'agit plutôt d'actions d'utilisateurs qui n'ont pas été anticipées et que les programmes ne savent pas gérer. Prenons l'exemple d'une application bancaire qui permet aux utilisateurs de transférer de l'argent vers d'autres comptes. Mais au lieu d'envoyer de l'argent, un utilisateur malveillant tente d'envoyer un montant négatif sur un autre compte. Comment l'application bancaire va-t-elle réagir ? Va-t-elle se bloquer ? Refusera-t-elle le transfert ? Ou pourrait-elle renvoyer de l'argent à l'utilisateur qui a initié le transfert pour équilibrer ce montant négatif ?

Les sites de commerce électronique sont particulièrement, mais pas uniquement, susceptibles de présenter des failles dans la logique d'entreprise parce qu'ils sont conçus pour être utilisés par un grand nombre d'utilisateurs et qu'ils comportent de nombreux composants. Les utilisateurs qui annulent des commandes de manière inattendue, qui essaient d'appliquer plusieurs fois un même coupon ou même qui surchargent leur panier peuvent soumettre les applications à des conditions qui n'ont pas été anticipées. Il n'y a vraiment aucun moyen de savoir comment un programme réagira lorsqu'il sera confronté à une situation inconnue. Dans le meilleur des cas, un message d'erreur peut être généré, mais il n'y a aucune garantie qu'une application ne prendra pas une mesure pire, telle que l'offre d'une marchandise gratuite.

Pourquoi les problèmes de logique d'entreprise sont-ils dangereux ?

Les problèmes de logique d'entreprise peuvent être extrêmement dangereux car ils peuvent être exploités par n'importe qui, même par une personne n'ayant aucune formation en programmation ou en piratage informatique. Il suffit d'expérimenter et de prendre le temps de cliquer et d'essayer de trouver des failles dans la manière dont une application est conçue pour réagir. Et lorsqu'un utilisateur malveillant découvre une faille dans la logique commerciale d'un site, vous pouvez être sûr qu'il l'exploitera autant que possible.

Le plus grand danger est normalement d'ordre financier : un utilisateur peut acheter 20 téléviseurs à grand écran sans les payer, ou quelque chose de ce genre. Mais les failles dans la logique d'entreprise peuvent également être à l'origine d'autres problèmes. Par exemple, si la fonction de mot de passe protégeant un site ne sait pas quoi faire si un utilisateur appuie constamment sur "annuler", elle peut lui permettre de contourner le processus de connexion.

Il n'y a vraiment aucun moyen d'anticiper l'ampleur des dégâts qu'un problème de logique d'entreprise pourrait causer. Souvent, la première indication d'un problème survient longtemps après que les utilisateurs l'ont exploité.

Résolution des problèmes de logique d'entreprise

Malheureusement, l'utilisation d'outils courants tels que les scanners de vulnérabilité n'aidera pas à identifier ou à résoudre les problèmes de logique d'entreprise, étant donné que les tests de logique d'entreprise ne peuvent pas être facilement automatisés. La meilleure façon de les éviter est de mettre en œuvre une bonne planification, un traitement des erreurs et des tests pour les cas de test négatifs pendant le développement d'une application. Pour ce faire, il faut tout d'abord définir clairement un ensemble de règles de gestion comprenant toutes les actions possibles et souhaitées qu'une application est censée effectuer.

Armé d'un plan de règles de gestion, l'un des meilleurs moyens d'éviter que des failles dans la logique de gestion ne se glissent est de créer un organigramme montrant toutes les façons possibles dont les données et les transactions devraient circuler au sein d'une application. Il s'agit notamment de modéliser le comportement pour chaque cas où un utilisateur peut faire un choix ou saisir des données. Vérifiez constamment que les actions possibles dans le diagramme de flux correspondent aux fonctions du plan de règles métier.

Enfin, utilisez la modélisation des menaces pour aider à identifier les failles dans la logique d'entreprise au cours des phases de conception, de mise en œuvre et de test. En guise de sécurité, créez une action que le programme doit entreprendre s'il rencontre une situation qui n'a pas été spécifiquement anticipée. Il peut s'agir simplement de refuser l'action et d'alerter un administrateur sur le problème rencontré.

Plus d'informations sur Business Logic Problems

Pour en savoir plus, vous pouvez consulter les pages de l'OWASP sur les problèmes de logique commerciale. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Prêt à rechercher et à détruire les vulnérabilités de la logique d'entreprise dès maintenant ? Rendez-vous sur la plateforme et testez vos compétences : [Commencez ici]

Voir la ressource
Voir la ressource

Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.

Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstration
Partager sur :
Auteur
Jaap Karan Singh
Publié le 28 mars 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Contrairement à la plupart des autres vulnérabilités que nous avons abordées dans cette série Partageons et apprenons, les problèmes de logique métier ne sont pas directement associés à des erreurs de codage. Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.

Des problèmes de logique d'entreprise peuvent survenir lorsqu'un utilisateur effectue une action imprévue lors de l'utilisation d'une application. Il peut s'agir de presque n'importe quoi, de l'annulation inattendue d'une commande, de l'application trop fréquente d'un code de réduction ou du simple fait de sauter une étape prévue et d'entreprendre une action que l'application ne sait pas comment gérer. L'exploitation des failles de la logique d'entreprise ne nécessite même pas de formation, il suffit d'un utilisateur malveillant doté d'un esprit curieux et prêt à sortir des sentiers battus.

Dans cet épisode, vous apprendrez

  • Comment les attaquants exploitent les failles de la logique d'entreprise
  • Pourquoi les applications présentant des failles dans la logique d'entreprise sont dangereuses
  • Techniques permettant d'éviter les erreurs de logique d'entreprise.

Comment les attaquants exploitent-ils les problèmes de logique d'entreprise ?

Contrairement à la plupart des exploits, nous ne pouvons pas pointer vers des chaînes de code spécifiques qui pourraient causer cette vulnérabilité. Il s'agit plutôt d'actions d'utilisateurs qui n'ont pas été anticipées et que les programmes ne savent pas gérer. Prenons l'exemple d'une application bancaire qui permet aux utilisateurs de transférer de l'argent vers d'autres comptes. Mais au lieu d'envoyer de l'argent, un utilisateur malveillant tente d'envoyer un montant négatif sur un autre compte. Comment l'application bancaire va-t-elle réagir ? Va-t-elle se bloquer ? Refusera-t-elle le transfert ? Ou pourrait-elle renvoyer de l'argent à l'utilisateur qui a initié le transfert pour équilibrer ce montant négatif ?

Les sites de commerce électronique sont particulièrement, mais pas uniquement, susceptibles de présenter des failles dans la logique d'entreprise parce qu'ils sont conçus pour être utilisés par un grand nombre d'utilisateurs et qu'ils comportent de nombreux composants. Les utilisateurs qui annulent des commandes de manière inattendue, qui essaient d'appliquer plusieurs fois un même coupon ou même qui surchargent leur panier peuvent soumettre les applications à des conditions qui n'ont pas été anticipées. Il n'y a vraiment aucun moyen de savoir comment un programme réagira lorsqu'il sera confronté à une situation inconnue. Dans le meilleur des cas, un message d'erreur peut être généré, mais il n'y a aucune garantie qu'une application ne prendra pas une mesure pire, telle que l'offre d'une marchandise gratuite.

Pourquoi les problèmes de logique d'entreprise sont-ils dangereux ?

Les problèmes de logique d'entreprise peuvent être extrêmement dangereux car ils peuvent être exploités par n'importe qui, même par une personne n'ayant aucune formation en programmation ou en piratage informatique. Il suffit d'expérimenter et de prendre le temps de cliquer et d'essayer de trouver des failles dans la manière dont une application est conçue pour réagir. Et lorsqu'un utilisateur malveillant découvre une faille dans la logique commerciale d'un site, vous pouvez être sûr qu'il l'exploitera autant que possible.

Le plus grand danger est normalement d'ordre financier : un utilisateur peut acheter 20 téléviseurs à grand écran sans les payer, ou quelque chose de ce genre. Mais les failles dans la logique d'entreprise peuvent également être à l'origine d'autres problèmes. Par exemple, si la fonction de mot de passe protégeant un site ne sait pas quoi faire si un utilisateur appuie constamment sur "annuler", elle peut lui permettre de contourner le processus de connexion.

Il n'y a vraiment aucun moyen d'anticiper l'ampleur des dégâts qu'un problème de logique d'entreprise pourrait causer. Souvent, la première indication d'un problème survient longtemps après que les utilisateurs l'ont exploité.

Résolution des problèmes de logique d'entreprise

Malheureusement, l'utilisation d'outils courants tels que les scanners de vulnérabilité n'aidera pas à identifier ou à résoudre les problèmes de logique d'entreprise, étant donné que les tests de logique d'entreprise ne peuvent pas être facilement automatisés. La meilleure façon de les éviter est de mettre en œuvre une bonne planification, un traitement des erreurs et des tests pour les cas de test négatifs pendant le développement d'une application. Pour ce faire, il faut tout d'abord définir clairement un ensemble de règles de gestion comprenant toutes les actions possibles et souhaitées qu'une application est censée effectuer.

Armé d'un plan de règles de gestion, l'un des meilleurs moyens d'éviter que des failles dans la logique de gestion ne se glissent est de créer un organigramme montrant toutes les façons possibles dont les données et les transactions devraient circuler au sein d'une application. Il s'agit notamment de modéliser le comportement pour chaque cas où un utilisateur peut faire un choix ou saisir des données. Vérifiez constamment que les actions possibles dans le diagramme de flux correspondent aux fonctions du plan de règles métier.

Enfin, utilisez la modélisation des menaces pour aider à identifier les failles dans la logique d'entreprise au cours des phases de conception, de mise en œuvre et de test. En guise de sécurité, créez une action que le programme doit entreprendre s'il rencontre une situation qui n'a pas été spécifiquement anticipée. Il peut s'agir simplement de refuser l'action et d'alerter un administrateur sur le problème rencontré.

Plus d'informations sur Business Logic Problems

Pour en savoir plus, vous pouvez consulter les pages de l'OWASP sur les problèmes de logique commerciale. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Prêt à rechercher et à détruire les vulnérabilités de la logique d'entreprise dès maintenant ? Rendez-vous sur la plateforme et testez vos compétences : [Commencez ici]

Voir la ressource
Voir la ressource

Remplissez le formulaire ci-dessous pour télécharger le rapport

Nous aimerions que vous nous autorisiez à vous envoyer des informations sur nos produits et/ou sur des sujets liés au codage sécurisé. Nous traiterons toujours vos données personnelles avec le plus grand soin et ne les vendrons jamais à d'autres entreprises à des fins de marketing.

Soumettre
Pour soumettre le formulaire, veuillez activer les cookies "Analytics". N'hésitez pas à les désactiver à nouveau une fois que vous aurez terminé.

Contrairement à la plupart des autres vulnérabilités que nous avons abordées dans cette série Partageons et apprenons, les problèmes de logique métier ne sont pas directement associés à des erreurs de codage. Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.

Des problèmes de logique d'entreprise peuvent survenir lorsqu'un utilisateur effectue une action imprévue lors de l'utilisation d'une application. Il peut s'agir de presque n'importe quoi, de l'annulation inattendue d'une commande, de l'application trop fréquente d'un code de réduction ou du simple fait de sauter une étape prévue et d'entreprendre une action que l'application ne sait pas comment gérer. L'exploitation des failles de la logique d'entreprise ne nécessite même pas de formation, il suffit d'un utilisateur malveillant doté d'un esprit curieux et prêt à sortir des sentiers battus.

Dans cet épisode, vous apprendrez

  • Comment les attaquants exploitent les failles de la logique d'entreprise
  • Pourquoi les applications présentant des failles dans la logique d'entreprise sont dangereuses
  • Techniques permettant d'éviter les erreurs de logique d'entreprise.

Comment les attaquants exploitent-ils les problèmes de logique d'entreprise ?

Contrairement à la plupart des exploits, nous ne pouvons pas pointer vers des chaînes de code spécifiques qui pourraient causer cette vulnérabilité. Il s'agit plutôt d'actions d'utilisateurs qui n'ont pas été anticipées et que les programmes ne savent pas gérer. Prenons l'exemple d'une application bancaire qui permet aux utilisateurs de transférer de l'argent vers d'autres comptes. Mais au lieu d'envoyer de l'argent, un utilisateur malveillant tente d'envoyer un montant négatif sur un autre compte. Comment l'application bancaire va-t-elle réagir ? Va-t-elle se bloquer ? Refusera-t-elle le transfert ? Ou pourrait-elle renvoyer de l'argent à l'utilisateur qui a initié le transfert pour équilibrer ce montant négatif ?

Les sites de commerce électronique sont particulièrement, mais pas uniquement, susceptibles de présenter des failles dans la logique d'entreprise parce qu'ils sont conçus pour être utilisés par un grand nombre d'utilisateurs et qu'ils comportent de nombreux composants. Les utilisateurs qui annulent des commandes de manière inattendue, qui essaient d'appliquer plusieurs fois un même coupon ou même qui surchargent leur panier peuvent soumettre les applications à des conditions qui n'ont pas été anticipées. Il n'y a vraiment aucun moyen de savoir comment un programme réagira lorsqu'il sera confronté à une situation inconnue. Dans le meilleur des cas, un message d'erreur peut être généré, mais il n'y a aucune garantie qu'une application ne prendra pas une mesure pire, telle que l'offre d'une marchandise gratuite.

Pourquoi les problèmes de logique d'entreprise sont-ils dangereux ?

Les problèmes de logique d'entreprise peuvent être extrêmement dangereux car ils peuvent être exploités par n'importe qui, même par une personne n'ayant aucune formation en programmation ou en piratage informatique. Il suffit d'expérimenter et de prendre le temps de cliquer et d'essayer de trouver des failles dans la manière dont une application est conçue pour réagir. Et lorsqu'un utilisateur malveillant découvre une faille dans la logique commerciale d'un site, vous pouvez être sûr qu'il l'exploitera autant que possible.

Le plus grand danger est normalement d'ordre financier : un utilisateur peut acheter 20 téléviseurs à grand écran sans les payer, ou quelque chose de ce genre. Mais les failles dans la logique d'entreprise peuvent également être à l'origine d'autres problèmes. Par exemple, si la fonction de mot de passe protégeant un site ne sait pas quoi faire si un utilisateur appuie constamment sur "annuler", elle peut lui permettre de contourner le processus de connexion.

Il n'y a vraiment aucun moyen d'anticiper l'ampleur des dégâts qu'un problème de logique d'entreprise pourrait causer. Souvent, la première indication d'un problème survient longtemps après que les utilisateurs l'ont exploité.

Résolution des problèmes de logique d'entreprise

Malheureusement, l'utilisation d'outils courants tels que les scanners de vulnérabilité n'aidera pas à identifier ou à résoudre les problèmes de logique d'entreprise, étant donné que les tests de logique d'entreprise ne peuvent pas être facilement automatisés. La meilleure façon de les éviter est de mettre en œuvre une bonne planification, un traitement des erreurs et des tests pour les cas de test négatifs pendant le développement d'une application. Pour ce faire, il faut tout d'abord définir clairement un ensemble de règles de gestion comprenant toutes les actions possibles et souhaitées qu'une application est censée effectuer.

Armé d'un plan de règles de gestion, l'un des meilleurs moyens d'éviter que des failles dans la logique de gestion ne se glissent est de créer un organigramme montrant toutes les façons possibles dont les données et les transactions devraient circuler au sein d'une application. Il s'agit notamment de modéliser le comportement pour chaque cas où un utilisateur peut faire un choix ou saisir des données. Vérifiez constamment que les actions possibles dans le diagramme de flux correspondent aux fonctions du plan de règles métier.

Enfin, utilisez la modélisation des menaces pour aider à identifier les failles dans la logique d'entreprise au cours des phases de conception, de mise en œuvre et de test. En guise de sécurité, créez une action que le programme doit entreprendre s'il rencontre une situation qui n'a pas été spécifiquement anticipée. Il peut s'agir simplement de refuser l'action et d'alerter un administrateur sur le problème rencontré.

Plus d'informations sur Business Logic Problems

Pour en savoir plus, vous pouvez consulter les pages de l'OWASP sur les problèmes de logique commerciale. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Prêt à rechercher et à détruire les vulnérabilités de la logique d'entreprise dès maintenant ? Rendez-vous sur la plateforme et testez vos compétences : [Commencez ici]

Accès aux ressources

Cliquez sur le lien ci-dessous et téléchargez le PDF de cette ressource.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Voir le rapportRéservez une démonstration
Télécharger le PDF
Voir la ressource
Partager sur :
Vous souhaitez en savoir plus ?

Partager sur :
Auteur
Jaap Karan Singh
Publié le 28 mars 2019

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Partager sur :

Contrairement à la plupart des autres vulnérabilités que nous avons abordées dans cette série Partageons et apprenons, les problèmes de logique métier ne sont pas directement associés à des erreurs de codage. Bien que les problèmes de codage puissent faire partie du problème, les erreurs de logique d'entreprise résultent le plus souvent de défauts de conception ou d'hypothèses logiques incorrectes lors de la création d'une application.

Des problèmes de logique d'entreprise peuvent survenir lorsqu'un utilisateur effectue une action imprévue lors de l'utilisation d'une application. Il peut s'agir de presque n'importe quoi, de l'annulation inattendue d'une commande, de l'application trop fréquente d'un code de réduction ou du simple fait de sauter une étape prévue et d'entreprendre une action que l'application ne sait pas comment gérer. L'exploitation des failles de la logique d'entreprise ne nécessite même pas de formation, il suffit d'un utilisateur malveillant doté d'un esprit curieux et prêt à sortir des sentiers battus.

Dans cet épisode, vous apprendrez

  • Comment les attaquants exploitent les failles de la logique d'entreprise
  • Pourquoi les applications présentant des failles dans la logique d'entreprise sont dangereuses
  • Techniques permettant d'éviter les erreurs de logique d'entreprise.

Comment les attaquants exploitent-ils les problèmes de logique d'entreprise ?

Contrairement à la plupart des exploits, nous ne pouvons pas pointer vers des chaînes de code spécifiques qui pourraient causer cette vulnérabilité. Il s'agit plutôt d'actions d'utilisateurs qui n'ont pas été anticipées et que les programmes ne savent pas gérer. Prenons l'exemple d'une application bancaire qui permet aux utilisateurs de transférer de l'argent vers d'autres comptes. Mais au lieu d'envoyer de l'argent, un utilisateur malveillant tente d'envoyer un montant négatif sur un autre compte. Comment l'application bancaire va-t-elle réagir ? Va-t-elle se bloquer ? Refusera-t-elle le transfert ? Ou pourrait-elle renvoyer de l'argent à l'utilisateur qui a initié le transfert pour équilibrer ce montant négatif ?

Les sites de commerce électronique sont particulièrement, mais pas uniquement, susceptibles de présenter des failles dans la logique d'entreprise parce qu'ils sont conçus pour être utilisés par un grand nombre d'utilisateurs et qu'ils comportent de nombreux composants. Les utilisateurs qui annulent des commandes de manière inattendue, qui essaient d'appliquer plusieurs fois un même coupon ou même qui surchargent leur panier peuvent soumettre les applications à des conditions qui n'ont pas été anticipées. Il n'y a vraiment aucun moyen de savoir comment un programme réagira lorsqu'il sera confronté à une situation inconnue. Dans le meilleur des cas, un message d'erreur peut être généré, mais il n'y a aucune garantie qu'une application ne prendra pas une mesure pire, telle que l'offre d'une marchandise gratuite.

Pourquoi les problèmes de logique d'entreprise sont-ils dangereux ?

Les problèmes de logique d'entreprise peuvent être extrêmement dangereux car ils peuvent être exploités par n'importe qui, même par une personne n'ayant aucune formation en programmation ou en piratage informatique. Il suffit d'expérimenter et de prendre le temps de cliquer et d'essayer de trouver des failles dans la manière dont une application est conçue pour réagir. Et lorsqu'un utilisateur malveillant découvre une faille dans la logique commerciale d'un site, vous pouvez être sûr qu'il l'exploitera autant que possible.

Le plus grand danger est normalement d'ordre financier : un utilisateur peut acheter 20 téléviseurs à grand écran sans les payer, ou quelque chose de ce genre. Mais les failles dans la logique d'entreprise peuvent également être à l'origine d'autres problèmes. Par exemple, si la fonction de mot de passe protégeant un site ne sait pas quoi faire si un utilisateur appuie constamment sur "annuler", elle peut lui permettre de contourner le processus de connexion.

Il n'y a vraiment aucun moyen d'anticiper l'ampleur des dégâts qu'un problème de logique d'entreprise pourrait causer. Souvent, la première indication d'un problème survient longtemps après que les utilisateurs l'ont exploité.

Résolution des problèmes de logique d'entreprise

Malheureusement, l'utilisation d'outils courants tels que les scanners de vulnérabilité n'aidera pas à identifier ou à résoudre les problèmes de logique d'entreprise, étant donné que les tests de logique d'entreprise ne peuvent pas être facilement automatisés. La meilleure façon de les éviter est de mettre en œuvre une bonne planification, un traitement des erreurs et des tests pour les cas de test négatifs pendant le développement d'une application. Pour ce faire, il faut tout d'abord définir clairement un ensemble de règles de gestion comprenant toutes les actions possibles et souhaitées qu'une application est censée effectuer.

Armé d'un plan de règles de gestion, l'un des meilleurs moyens d'éviter que des failles dans la logique de gestion ne se glissent est de créer un organigramme montrant toutes les façons possibles dont les données et les transactions devraient circuler au sein d'une application. Il s'agit notamment de modéliser le comportement pour chaque cas où un utilisateur peut faire un choix ou saisir des données. Vérifiez constamment que les actions possibles dans le diagramme de flux correspondent aux fonctions du plan de règles métier.

Enfin, utilisez la modélisation des menaces pour aider à identifier les failles dans la logique d'entreprise au cours des phases de conception, de mise en œuvre et de test. En guise de sécurité, créez une action que le programme doit entreprendre s'il rencontre une situation qui n'a pas été spécifiquement anticipée. Il peut s'agir simplement de refuser l'action et d'alerter un administrateur sur le problème rencontré.

Plus d'informations sur Business Logic Problems

Pour en savoir plus, vous pouvez consulter les pages de l'OWASP sur les problèmes de logique commerciale. Vous pouvez également mettre à l'épreuve vos nouvelles connaissances en matière de défense grâce à la démo gratuite de la plateforme Secure Code Warrior , qui forme les équipes de cybersécurité à devenir les meilleurs cyber-guerriers. Pour en savoir plus sur la manière de vaincre cette vulnérabilité et d'autres menaces, visitez le blogSecure Code Warrior .

Prêt à rechercher et à détruire les vulnérabilités de la logique d'entreprise dès maintenant ? Rendez-vous sur la plateforme et testez vos compétences : [Commencez ici]

Table des matières

Télécharger le PDF
Voir la ressource
Vous souhaitez en savoir plus ?

Jaap Karan Singh est un évangéliste du codage sécurisé, Chief Singh et cofondateur de Secure Code Warrior.

Secure Code Warrior est là pour vous aider à sécuriser le code tout au long du cycle de vie du développement logiciel et à créer une culture dans laquelle la cybersécurité est une priorité. Que vous soyez responsable AppSec, développeur, CISO ou toute autre personne impliquée dans la sécurité, nous pouvons aider votre organisation à réduire les risques associés à un code non sécurisé.

Réservez une démonstrationTélécharger
Partager sur :
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles
Centre de ressources

Ressources pour vous aider à démarrer

Plus d'articles