V11.1.6 Business Logic Security

Requirement:

Verify that the application monitors for unusual events or activity from a business logic perspective. For example, attempts to perform actions out of order or actions which a normal user would never attempt. (C9)

Explanation:

Требование определяет необходимость мониторинга необычных событий или действий с точки зрения бизнес-логики приложения. Основное внимание уделяется обнаружению действий, выполняемых не по порядку, или действий, которые обычный пользователь обычно не пытается выполнить. Это требование направлено на повышение безопасности приложения путем выявления потенциально вредоносных или несанкционированных действий, которые могут привести к уязвимостям или нарушениям безопасности.

1 Business Logic Perspective:

• Данное требование предполагает наблюдение за действиями пользователей и их взаимодействием в приложении с точки зрения бизнес-логики.

• Бизнес-логика определяет правила, рабочие процессы и процессы, которые диктуют функционирование приложения

1 Unusual Events or Activity:

• Это требование направлено на обнаружение событий или действий, которые не соответствуют нормальному или ожидаемому поведению пользователя.

• В качестве примера можно привести попытки выполнения действий в неправильной последовательности (не по порядку) или выполнение действий, которые обычные пользователи, как правило, не инициируют.

1 Benefits:

• Мониторинг с точки зрения бизнес-логики позволяет выявить уязвимости или слабые места в логическом потоке приложения.
• Злоумышленники могут использовать различные способы обхода стандартных мер безопасности.

1 Detection Mechanisms:

• Реализуйте механизмы, отслеживающие взаимодействие и последовательность действий пользователей.

• Для выявления аномалий используются системы распознавания образов, системы, основанные на правилах, и методы их обнаружения.

1 Response and Alerting:

• При обнаружении необычных действий генерировать алерт, регистрировать соответствующую информацию и, возможно, инициировать ответные действия.

• Оповещения должны направляться администраторам или IT безопасности для проведения расследования.

1 Customization and Tuning:

• Настройте систему мониторинга в соответствии со спецификой бизнес-логики и сценариев использования приложения.

• Регулярно настраивайте систему, чтобы свести к минимуму количество ложных и ошибочных срабатываний.

1 Use Cases:

• Примерами соответствующих сценариев могут служить выявление пользователей, пытающихся пропустить обязательные шаги в многоэтапном процессе, получить доступ к несанкционированным функциям или областям, а также отправить данные в обход проверки. 1 Risk Mitigation:

• Обнаружение нестандартных событий позволяет снизить риски, связанные с уязвимостями бизнес-логики, несанкционированным доступом и манипулированием данными.

Remediation:

Чтобы устранить проблему необычных событий или действий в приложении, рекомендуется реализовать механизмы мониторинга и регистрации, которые могут обнаруживать такие события и действия. Это можно сделать, отслеживая бизнес-логику приложения и отслеживая ключевые показатели, такие как количество запросов, время отклика и частота ошибок. Кроме того, приложение должно быть настроено для обнаружения и регистрации любых попыток выполнения действий не по порядку или действий, которые не ожидаются от обычного пользователя, таких как чрезмерно частые или последовательные запросы или запросы, содержащие неожиданные или искаженные данные. Затем эти журналы можно просмотреть и проанализировать, чтобы выявить потенциальные инциденты безопасности и помочь предотвратить атаки в будущем.

Вот пример того, как это исправление может быть реализовано в коде с использованием Python и веб-фреймворка Flask:

from flask import Flask, request

import logging

app = Flask(__name__)

logging.basicConfig(filename="app.log", level=logging.INFO)

@app.before_request

def log_request_info():

logging.info("Request method: {}".format(request.method))

logging.info("Request path: {}".format(request.path))

logging.info("Request args: {}".format(request.args))

@app.route("/")

def index():

return "Hello, World!"

if __name__ == "__main__":

app.run()

В этом примере функция log_request_info выполняется перед каждым запросом к приложению. Эта функция регистрирует метод запроса, путь и аргументы, которые можно использовать для обнаружения необычных событий или действий в приложении. Записав эту информацию в журнал, можно просматривать журналы и выявлять любую непредвиденную или вредоносную активность.

Additional:

OWASP ASVS V11.1.6 аналогично V11.1.7

https://cwe.mitre.org/data/definitions/367.html