V11.1.1 Business Logic Security

Requirement:#

Verify that the application will only process business logic flows for the same user in sequential step order and without skipping steps.

Explanation:#

Во многих приложениях, особенно в тех, которые включают в себя многоэтапные процессы, такие как оформление заказа в электронной коммерции, регистрация пользователя или любой рабочий процесс, состоящий из нескольких этапов, очень важно, чтобы логика приложения обрабатывала каждый этап в правильном порядке и без пропусков шагов. Это позволяет сохранить целостность функциональности приложения и предотвратить уязвимости в системе безопасности или логические ошибки, которые могут привести к неожиданному поведению.

Соблюдая это требование, разработчики обеспечивают последовательное, корректное и безопасное выполнение потоков бизнес-логики приложения. Это позволяет предотвратить сценарии, в которых пользователи могут использовать логику приложения для выполнения действий, которые им не положены, или вызвать нежелательные последствия.

Remediation:#

Чтобы выполнить требование, необходимо убедиться, что последовательные шаги приложения выполняются правильно и по порядку:

Review Business Logic Flows.

Определить все различные процессы бизнес-логики в приложении. Это может быть регистрация пользователя, обработка заказа, сброс пароля и т.д.

Implementation Check.

Проанализировать код приложения, чтобы убедиться, что процессы бизнес-логики реализованы таким образом, чтобы обеспечить их последовательное выполнение.

Context and User Tracking.

Убедиться в том, что приложение точно отслеживает контекст и ход взаимодействия с каждым пользователем. Для поддержания непрерывности между этапами использовать соответствующее управление сессиями или хранение данных о конкретном пользователе.

Input Validation and Handling.

Проверять вводимые пользователем данные на каждом шаге, чтобы предотвратить неожиданное поведение или возникновение уязвимостей в системе безопасности.

Access Controls.

Реализовать средства контроля доступа, чтобы предотвратить доступ неавторизованных пользователей к шагам, к которым они не должны иметь доступа.

Error Handling.

Реализовать надлежащие механизмы обработки ошибок, чтобы обеспечить эффективное управление непредвиденными событиями. Убедиться, что ошибки не нарушают логический процесс.

Automated Testing.

Разработать автоматизированные тесты, моделирующие взаимодействие с пользователем для каждого процесса бизнес-логики. Эти тесты должны охватывать допустимые и недопустимые вводы, а также исключительные случаи.

Manual Testing.

Провести ручное тестирование каждого процесса бизнес-логики и убедиться в том, что шаги обрабатываются по порядку и пропуск шагов невозможен.

Code Reviews.

Провести анализа кода с целью выявления потенциальных проблем, связанных с логикой и последовательностью действий.

Fixing Issues.

Если проблемы выявлены, расставить приоритеты и устранить их в зависимости от степени серьезности. Убедиться, что исправления не приводят к появлению новых уязвимостей или ошибок.

Documentation.

Документировать процессы бизнес-логики, их последовательность, а также любые механизмы контроля доступа и проверки в документации к приложению.

Пример демонстрирующий, как можно выстроить базовый процесс бизнес-логики в соответствии с требованиями. В примере предполагается процесс регистрации пользователя с последовательными шагами:

class UserRegistration:
    def __init__(self):
        self.step = 0
        self.steps = [
            self.get_personal_info,
            self.choose_username,
            self.set_password,
            self.complete_registration
        ]
        self.user_data = {
            "personal_info": {},
            "username": None,
            "password": None
        }

    def get_personal_info(self):
        self.user_data["personal_info"]["name"] = input("Enter your name: ")
        self.step += 1

    def choose_username(self):
        self.user_data["username"] = input("Choose a username: ")
        self.step += 1

    def set_password(self):
        self.user_data["password"] = input("Set a password: ")
        self.step += 1

    def complete_registration(self):
        print("Registration completed:")
        print("Name:", self.user_data["personal_info"]["name"])
        print("Username:", self.user_data["username"])
        print("Password:", self.user_data["password"])

def main():
    registration_process = UserRegistration()
    
    while registration_process.step < len(registration_process.steps):
        current_step = registration_process.steps[registration_process.step]
        current_step()
    
    print("Registration process finished.")

if __name__ == "__main__":
    main()

В данном примере:

UserRegistration представляет процесс регистрации пользователя, состоящий из последовательных шагов.
Каждый шаг представляет собой метод внутри класса, например get_personal_info, choose_username и т.д.
Список шагов поддерживает порядок шагов.
Словарь user_data хранит информацию о пользователе на протяжении всего процесса.
Переменная step отслеживает текущий обрабатываемый шаг.
Функция main() инициирует процесс регистрации и выполняет итерации по каждому шагу до тех пор, пока все шаги не будут завершены.

Additional:#

https://owasp.org/www-project-web-security-testing-guide/v42/4-Web_Application_Security_Testing/10-Business_Logic_Testing/README.html

https://cwe.mitre.org/data/definitions/841.html