隨著低代碼/無(wú)代碼開(kāi)發(fā)平臺(tái)激增以及被企業(yè)廣泛使用,,產(chǎn)業(yè)界提出了一個(gè)明確而緊迫的需求,即建立依賴此類平臺(tái)開(kāi)發(fā)的應(yīng)用程序相關(guān)的安全和隱私風(fēng)險(xiǎn)意識(shí),?!禣WASP 低代碼十大安全風(fēng)險(xiǎn)清單》(以下簡(jiǎn)稱“《清單》”)是為希望采用和開(kāi)發(fā)低代碼(可視化少量代碼開(kāi)發(fā)),、無(wú)代碼(可視化無(wú)需編程開(kāi)發(fā))應(yīng)用程序的企業(yè)提供幫助和指導(dǎo)。
LCNC-SEC-01:身份冒充
無(wú)代碼/低代碼開(kāi)發(fā)的應(yīng)用程序可能內(nèi)嵌任何應(yīng)用程序用戶隱式冒充的用戶身份,。這為權(quán)限提升創(chuàng)建了一條攻擊路徑,,允許攻擊者隱藏在另一個(gè)用戶的身份背后來(lái)繞過(guò)傳統(tǒng)的安全控制。
LCNC-SEC-02:授權(quán)濫用
在大多數(shù)無(wú)代碼/低代碼的平臺(tái)中,,服務(wù)連接都是頭等對(duì)象,。這意味著應(yīng)用程序、其他用戶或整個(gè)企業(yè)之間的連接,。應(yīng)用程序也可能被共享給無(wú)權(quán)訪問(wèn)基礎(chǔ)數(shù)據(jù)的用戶,。
LCNC-SEC-03:數(shù)據(jù)泄漏和意外后果
無(wú)代碼/低代碼應(yīng)用程序通常會(huì)跨多個(gè)系統(tǒng)同步數(shù)據(jù)或觸發(fā)操作,這為數(shù)據(jù)跨越企業(yè)邊界創(chuàng)造了一條攻擊路徑,。這就意味著,,在一個(gè)系統(tǒng)內(nèi)的操作可能對(duì)另一個(gè)系統(tǒng)中造成意想不到的后果。
LCNC-SEC-04:身份驗(yàn)證和安全通信失效
無(wú)代碼/低代碼應(yīng)用程序通常通過(guò)業(yè)務(wù)用戶設(shè)置的連接來(lái)連接到關(guān)鍵業(yè)務(wù)數(shù)據(jù),,這往往會(huì)導(dǎo)致不安全的通信,。
LCNC-SEC-05:安全配置錯(cuò)誤
配置錯(cuò)誤往往會(huì)導(dǎo)致匿名訪問(wèn)敏感數(shù)據(jù)或操作,以及不受保護(hù)的公共端點(diǎn),、密鑰泄漏和過(guò)度共享,。
LCNC-SEC-06:注入處理失效
無(wú)代碼/低代碼應(yīng)用程序以多種方式接收用戶提供的數(shù)據(jù),包括直接輸入或從各種服務(wù)中檢索用戶提供的內(nèi)容,。此類數(shù)據(jù)可能會(huì)包含給應(yīng)用程序帶來(lái)風(fēng)險(xiǎn)的惡意有效載荷,。
LCNC-SEC-07:脆弱和不可信的組件
無(wú)代碼/低代碼應(yīng)用程序嚴(yán)重依賴于市場(chǎng)或web上現(xiàn)有組件,以及由開(kāi)發(fā)人員構(gòu)建的自定義連接器,。這些組件通常是非托管的,,缺乏可見(jiàn)性,并使應(yīng)用程序面臨基于供應(yīng)鏈的風(fēng)險(xiǎn),。
LCNC-SEC-08:數(shù)據(jù)和密鑰處理失效
無(wú)代碼/低代碼應(yīng)用程序通常將數(shù)據(jù)或密鑰作為其“代碼”的一部分進(jìn)行存儲(chǔ),,或者存儲(chǔ)在平臺(tái)提供的托管數(shù)據(jù)庫(kù)中,,而這些數(shù)據(jù)必須按照法規(guī)和安全要求進(jìn)行適當(dāng)?shù)拇鎯?chǔ)。
LCNC-SEC-09:資產(chǎn)管理失效
無(wú)代碼/低代碼應(yīng)用程序易于創(chuàng)建開(kāi)發(fā),,并且維護(hù)成本相對(duì)較低,,這個(gè)特點(diǎn)使這些應(yīng)用程序在保持活動(dòng)狀態(tài)的同時(shí),企業(yè)也很容易棄用這些應(yīng)用程序,。此外,,內(nèi)部應(yīng)用程序可以在不解決業(yè)務(wù)連續(xù)性問(wèn)題的情況下迅速普及。
LCNC-SEC-10:安全日志記錄和監(jiān)控失效
無(wú)代碼/低代碼應(yīng)用程序通常依賴于供應(yīng)商來(lái)生成日志和監(jiān)視數(shù)據(jù),。在許多情況下,,日志要么不足,要么沒(méi)有收集,,從而阻礙了安全調(diào)查,,并且無(wú)法滿足合規(guī)性要求。
此外,,應(yīng)用程序通常缺乏全面的審計(jì)跟蹤,,從而阻礙了變更管理流程和查詢,很難找出是誰(shuí)引入了一項(xiàng)變更,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<