====== Sigurnosna Kontrolna Lista (KRITIS/NIS2) ====== **Verzija:** 2.0\\ **Opseg:** Crypto, sigurnost memorije, dostupnost, otkrivanje informacija, sigurna obrada grešaka. Sveobuhvatna sigurnosna kontrolna lista temeljena na CWE ranjivostima i obrascima napada. ===== Kriptografska Sigurnost ===== ^ Provjeri ^ CWE ^ Opis ^ | [ ] Jedinstvenost Nonce | CWE-323 | AES-GCM nonce jedinstven po šifriranju (KRITIČNO!) | | [ ] Praćenje Nonce | CWE-323 | Prati korištene nonce, provedi MAX_NONCES_PER_KEY | | [ ] Rotacija Ključeva | CWE-323 | Rotiraj ključ nakon dostignute granice nonce | | [ ] Kriptografski RNG | CWE-330 | OpenSSL/OS CSPRNG za ključeve/nonce | | [ ] Nasumični ID | CWE-330 | Nema sekvencijalnih ključ/sesija ID-ova | | [ ] Constant-time Usporedba | CWE-208 | Za tajne, MAC-ove, tokene, API ključeve | | [ ] Zaštita od Replay | CWE-294 | Praćenje nonce/vremenske oznake/sekvence | | [ ] Šifriranje Kanala | CWE-300 | mTLS za vanjsku komunikaciju | ===== Sigurnost Memorije ===== ^ Provjeri ^ CWE ^ Opis ^ | [ ] Nuliranje Memorije | CWE-316 | Očisti tajne nakon uporabe | | [ ] Nema Tajni u Logovima | CWE-532 | Nikada ne logiraj ključeve, lozinke, tokene | | [ ] Sigurno Rukovanje Nizovima | CWE-316 | SecureString (C#), secrecy (Rust) | | [ ] Materijal Ključa Očišćen | CWE-316 | try-finally osigurava čišćenje kod iznimke | ===== Validacija Inputa ===== ^ Provjeri ^ CWE ^ Opis ^ | [ ] Ograničenja Veličine | CWE-400 | MAX_PAYLOAD_SIZE proveden (zadano: 64KB) | | [ ] Integer Overflow | CWE-190 | SafeAdd(), checked_add(), checked aritmetika | | [ ] Null Provjere | CWE-476 | Na svim API granicama | | [ ] Nema Unwrap na Inputu | CWE-248 | Pravilna obrada grešaka, nema panic kod malformed podataka | | [ ] Parametrizirani Upiti | CWE-89 | Nikada string konkatenacija za SQL | | [ ] Validacija Znakova | - | Bijela lista za identifikatore gdje je prikladno | ===== Obrada Grešaka ===== ^ Provjeri ^ CWE ^ Opis ^ | [ ] Sanitizirane Poruke | CWE-209 | Nema putanja/verzija/stack traces klijentu | | [ ] Potpuno Logiranje Grešaka | - | Logiraj kompletnu grešku interno prije sanitizacije | | [ ] Nema Panic u Servisu | CWE-248 | Graceful oporavak od greške, servis ostaje pokrenut | | [ ] Stack Trace Očuvan | - | Re-throw bez wrappinga | ===== Dostupnost (DoS Zaštita) ===== ^ Provjeri ^ CWE ^ Opis ^ | [ ] Ograničavanje Stope | CWE-400 | Token bucket po klijentu/endpointu | | [ ] Ograničenja Veličine Zahtjeva | CWE-400 | Odbij prevelike payload rano | | [ ] Sigurnost Zaključavanja | CWE-667 | Mehanizam oporavka zaključavanja | | [ ] Čišćenje Resursa | CWE-772 | try-finally, using, defer, RAII - uvijek | | [ ] Rukovanje Timeoutima | CWE-400 | Timeouts na svim vanjskim operacijama | ===== Sigurnost Niti ===== ^ Provjeri ^ CWE ^ Opis ^ | [ ] Lock Poisoning Obrađen | CWE-667 | Oporavak od otrovanih lockova | | [ ] Nema Race Conditions | CWE-362 | Thread-safe podatkovne strukture | | [ ] Atomske Operacije | CWE-362 | Za brojače, zastavice, dijeljeno stanje | | [ ] Prevencija Deadlocka | CWE-833 | Redoslijed zaključavanja, timeouts | ===== Revizija & Usklađenost ===== ^ Provjeri ^ Standard ^ Opis ^ | [ ] Sve Promjene Logirane | ISO 27001 A.12.4 | Promjene podataka s korisnikom, vremenskom oznakom, stara/nova vrijednost | | [ ] Sigurnosni Događaji Logirani | NIS2 Art. 21 | Neuspjela auth, ograničavanje stope, sumnjiv input | | [ ] Rotacija Log Datoteka | - | Inkrementalni format | | [ ] Nema Osjetljivih Podataka u Logovima | CWE-532 | Revizija za slučajno izlaganje | ===== Brza Referenca - Po Vrsti Napada ===== **Kriptografski Napadi:** * [ ] Ponovna uporaba nonce spriječena * [ ] Timing napadi ublaženi (constant-time usporedba) * [ ] Replay napadi blokirani * [ ] Enumeracija ključeva spriječena (nasumični ID-ovi) **Napadi na Input:** * [ ] Buffer overflow spriječen (ograničenja veličine) * [ ] Integer overflow spriječen * [ ] Malformed input obrađen * [ ] SQL injection spriječen **Napadi na Dostupnost:** * [ ] Iscrpljivanje resursa spriječeno (ograničavanje stope) * [ ] Lock poisoning obrađen * [ ] Iscrpljivanje memorije spriječeno **Otkrivanje Informacija:** * [ ] Poruke o greškama sanitizirane * [ ] Tajne nulirane nakon uporabe * [ ] Nema osjetljivih podataka u logovima ---- Nema exec/shell_exec/system poziva Nema eval() poziva Output escaping SQL injection prevencija CSRF zaštita ---- //Verzija: 2.0 (Split)//\\ //Autor: Wolfgang van der Stille// Natrag na [[start|Sigurnosne Kontrolne Liste]] | [[..:start|Kontrolne Liste za Pregled]] ~~DISCUSSION:off~~