====== Varnostni Kontrolni Seznam (KRITIS/NIS2) ====== **Različica:** 2.0\\ **Obseg:** Crypto, varnost pomnilnika, razpoložljivost, razkritje informacij, varna obravnava napak. Celovit varnostni kontrolni seznam osnovan na CWE ranljivostih in vzorcih napadov. ===== Kriptografska Varnost ===== ^ Preveri ^ CWE ^ Opis ^ | [ ] Edinstvenost Nonce | CWE-323 | AES-GCM nonce edinstven na šifriranje (KRITIČNO!) | | [ ] Sledenje Nonce | CWE-323 | Sledi uporabljenim nonce, uveljavi MAX_NONCES_PER_KEY | | [ ] Rotacija Ključev | CWE-323 | Rotiraj ključ po doseženi omejitvi nonce | | [ ] Kriptografski RNG | CWE-330 | OpenSSL/OS CSPRNG za ključe/nonce | | [ ] Naključni ID | CWE-330 | Brez zaporednih ključ/seja ID | | [ ] Constant-time Primerjava | CWE-208 | Za skrivnosti, MAC, tokene, API ključe | | [ ] Zaščita pred Replay | CWE-294 | Sledenje nonce/časovnega žiga/zaporedja | | [ ] Šifriranje Kanala | CWE-300 | mTLS za zunanjo komunikacijo | ===== Varnost Pomnilnika ===== ^ Preveri ^ CWE ^ Opis ^ | [ ] Ničenje Pomnilnika | CWE-316 | Počisti skrivnosti po uporabi | | [ ] Brez Skrivnosti v Dnevnikih | CWE-532 | Nikoli ne beleži ključev, gesel, tokenov | | [ ] Varno Ravnanje z Nizi | CWE-316 | SecureString (C#), secrecy (Rust) | | [ ] Material Ključa Počiščen | CWE-316 | try-finally zagotavlja čiščenje ob izjemi | ===== Validacija Vnosov ===== ^ Preveri ^ CWE ^ Opis ^ | [ ] Omejitve Velikosti | CWE-400 | MAX_PAYLOAD_SIZE uveljavljen (privzeto: 64KB) | | [ ] Integer Preliv | CWE-190 | SafeAdd(), checked_add(), checked aritmetika | | [ ] Null Preverjanja | CWE-476 | Na vseh API mejah | | [ ] Brez Unwrap na Vnosu | CWE-248 | Pravilna obravnava napak, brez panic ob malformed podatkih | | [ ] Parametrizirane Poizvedbe | CWE-89 | Nikoli veriženje nizov za SQL | | [ ] Validacija Znakov | - | Beli seznam za identifikatorje kjer primerno | ===== Obravnava Napak ===== ^ Preveri ^ CWE ^ Opis ^ | [ ] Sanitizirana Sporočila | CWE-209 | Brez poti/različic/stack traces stranki | | [ ] Polno Beleženje Napak | - | Beleži celotno napako interno pred sanitizacijo | | [ ] Brez Panic v Storitvi | CWE-248 | Graceful okrevanje ob napaki, storitev ostane gor | | [ ] Stack Trace Ohranjen | - | Ponoven met brez ovijanja | ===== Razpoložljivost (DoS Zaščita) ===== ^ Preveri ^ CWE ^ Opis ^ | [ ] Omejevanje Hitrosti | CWE-400 | Token bucket na stranko/končno točko | | [ ] Omejitve Velikosti Zahtev | CWE-400 | Zavrni prevelike payloade zgodaj | | [ ] Varnost Zaklepanja | CWE-667 | Mehanizem okrevanja zaklepanja | | [ ] Čiščenje Virov | CWE-772 | try-finally, using, defer, RAII - vedno | | [ ] Ravnanje s Časovnimi Omejitvami | CWE-400 | Časovne omejitve na vseh zunanjih operacijah | ===== Varnost Niti ===== ^ Preveri ^ CWE ^ Opis ^ | [ ] Zastrupitev Zaklepov Obravnavana | CWE-667 | Okrevanje iz zastrupljenih zaklepov | | [ ] Brez Race Conditions | CWE-362 | Niti-varne podatkovne strukture | | [ ] Atomske Operacije | CWE-362 | Za števce, zastavice, deljeno stanje | | [ ] Preprečevanje Deadlockov | CWE-833 | Vrstni red zaklepanja, časovne omejitve | ===== Revizija & Skladnost ===== ^ Preveri ^ Standard ^ Opis ^ | [ ] Vse Spremembe Zabeležene | ISO 27001 A.12.4 | Spremembe podatkov z uporabnikom, časovnim žigom, staro/novo vrednostjo | | [ ] Varnostni Dogodki Zabeleženi | NIS2 Art. 21 | Neuspela auth, omejevanje hitrosti, sumljiv vnos | | [ ] Rotacija Log Datotek | - | Inkrementalni format | | [ ] Brez Občutljivih Podatkov v Dnevnikih | CWE-532 | Revizija za nenamensko izpostavitev | ===== Hitra Referenca - Po Vrsti Napada ===== **Kriptografski Napadi:** * [ ] Ponovna uporaba nonce preprečena * [ ] Časovni napadi omiljeni (constant-time primerjava) * [ ] Replay napadi blokirani * [ ] Naštevanje ključev preprečeno (naključni ID-ji) **Napadi na Vnose:** * [ ] Buffer overflow preprečen (omejitve velikosti) * [ ] Integer overflow preprečen * [ ] Malformed vnosi obravnavani * [ ] SQL injection preprečen **Napadi na Razpoložljivost:** * [ ] Izčrpanje virov preprečeno (omejevanje hitrosti) * [ ] Lock poisoning obravnavan * [ ] Izčrpanje pomnilnika preprečeno **Razkritje Informacij:** * [ ] Sporočila o napakah sanitizirana * [ ] Skrivnosti ničene po uporabi * [ ] Brez občutljivih podatkov v dnevnikih ---- Brez exec/shell_exec/system klicev Brez eval() klicev Output escaping SQL injekcija preprečevanje CSRF zaščita ---- //Različica: 2.0 (Split)//\\ //Avtor: Wolfgang van der Stille// Nazaj na [[start|Varnostni Kontrolni Seznami]] | [[..:start|Kontrolni Seznami za Preglede]] ~~DISCUSSION:off~~