چک لیست بررسی موارد امنیتی در نرافزار

باسلام خدمت دوستان عزیز

لطفا نظرات و موارد خود را در کامنت ارائه نمایید تا به کمک هم این لیست بهبود یابد.

با تشکر 

 

  1. طول پسورد نباید کمتر از 10 کاراکتر و بیشتر از 20 کاراکتر باشد

  2. پسوور باید شامل حداقل یک حرف بزرگ ، کوچک ، کاراکتر و عدد  باشد.

  3. کاربر نتواند برای نام کاربری و پسوورد از کلمات کلیدی استفاده کند

  4. استفاده از کد captcha

  5. به کاربر این امکان داده شود که اگر پسورد را فراموش کرد بتواند رمز خود را عوض کند. با پرسش یکسری سوالات امنیتی .

  6. اگر کاربر به سوالات درست پاسخ نداد صفحه ایی دیگر یک پیغام خطا مانند “Sorry, invalid data” نمایش دهد.

  7. در ذخیره کردن پسوردها از رمزگذاری قوی استفاده شود و بهتر است که با یک مقدار salt ترکیب شود.

  8. صفحه لاگین و تمام صفحات احراز هویت باید انحصاراً بر روی TLS دسترسی داده شوند.عدم استفاده از TLS برای صفحه لاگین به حمله کننده این اجازه را می دهد که عملیات فرم لاگین را تغییر دهد، که این باعث می شود که اعتبار کاربر به یک جای دلخواه فرستاده شود. عدم استفاده از TLS در صفحات احراز هویت بعد از لاگین کردن،  حمله کننده را قادر می سازد تا Session ID رمز نشده را ببیند و Session احراز هویت کاربر را به خطر می اندازد.

  9. یک وقفه بعد  از چند بار اشتباه زدن Username  و Password  ایجاد شود.

  10.  فعالیت ها باید Log  گرفته شود.تمام تلاش های احراز هویت که شامل: Log In,Log Out, Fail Login, درخواستهای تغییر پسورد می باشد. و حتماً باید به Admin  اطلاع داده شود.

  11.  پسوردها دوره انقضاء داشته باشند

  12.  تمامی نقل و انتقال Log on ها بر اساس TLS باشد.

  13.  ACL  چک و آزمایش شود و از دسترسی کاربران غیر مجاز  جلوگیری شود. مستندات Role های کاربران و همچنین ACL  بازبینی شود.

  14.  Session ID کاربر منحصر به فرد باشد و بعد از احراز هویت موفقیت آمیز صادر شود و باید به صورت راندوم دوباره تولید گردد.

  15.  یک Policy برای بررسی خطاها تعریف شود تا مشخص کند که چه پیغامی به کاربر نمایش داده شود. صفحه خطاها را با اطلاعات مناسب و درست بنویسیم. تا اطلاعات کمی به کاربر نمایش داده شود. یک حمله کننده می تواند اطلاعات زیادی را از پیام های خطاها دریافت نمیاد.

  16.  پیام های Not Found یا Access Denied اطلاعاتی درباره ساختار فایل سیستم و دسترسی های آن به حمله کننده می دهد.

  17.  باید ساعت سرور و Syslog  سرور باهم Synch باشند. مهر تاریخ و ساعت باید دقیق باشد.

  18.  سرویس های غیر ضروری پاک شود و یا غیر فعال شود.

  19.  حساب کاربری پیش فرض و پسوردهای پیش فرض پاک شوند.

  20.  نام حساب کاربری Administrator عوض یا غیر قابل دسترس شود و حساب کاربری Guest پاک یا غیر فعال شود.

  21.  عملیات Debugging غیر فعال شود.

  22.  شبکه از خارج اسکن شود تا مطمئن شویم که تمام پورتهای غیر ضروری بسته است.

  23. بررسی فایلهای آپلود شده

  24. تغیید نام فایلهای آپلود شده

  25. عدم امکان استفاده همزمان از دو سیستم مختلف

  26. اطلاع رسانی login از طریق sms , e-mail , phone

  27. اعلام زمان و ip و( browser ) آخرین زمان لاگین

  28. دریافت مجدد پسوورد یا یک کد خاص هنگام انجام تغییرات یا عملیات حساس

 

ارائه شده توسط : خانلارلو ، نجفیان پور ، مرادی ، مهرآیین

/ 0 نظر / 60 بازدید