Sigurnosna Kontrolna Lista (KRITIS/NIS2)

Verzija: 2.0
Opseg: Crypto, sigurnost memorije, dostupnost, otkrivanje informacija, sigurna obrada grešaka.

Sveobuhvatna sigurnosna kontrolna lista temeljena na CWE ranjivostima i obrascima napada.

Kriptografska Sigurnost

Provjeri	CWE	Opis
[ ] Jedinstvenost Nonce	CWE-323	AES-GCM nonce jedinstven po šifriranju (KRITIČNO!)
[ ] Praćenje Nonce	CWE-323	Prati korištene nonce, provedi MAX_NONCES_PER_KEY
[ ] Rotacija Ključeva	CWE-323	Rotiraj ključ nakon dostignute granice nonce
[ ] Kriptografski RNG	CWE-330	OpenSSL/OS CSPRNG za ključeve/nonce
[ ] Nasumični ID	CWE-330	Nema sekvencijalnih ključ/sesija ID-ova
[ ] Constant-time Usporedba	CWE-208	Za tajne, MAC-ove, tokene, API ključeve
[ ] Zaštita od Replay	CWE-294	Praćenje nonce/vremenske oznake/sekvence
[ ] Šifriranje Kanala	CWE-300	mTLS za vanjsku komunikaciju

Sigurnost Memorije

Provjeri	CWE	Opis
[ ] Nuliranje Memorije	CWE-316	Očisti tajne nakon uporabe
[ ] Nema Tajni u Logovima	CWE-532	Nikada ne logiraj ključeve, lozinke, tokene
[ ] Sigurno Rukovanje Nizovima	CWE-316	SecureString (C#), secrecy (Rust)
[ ] Materijal Ključa Očišćen	CWE-316	try-finally osigurava čišćenje kod iznimke

Validacija Inputa

Provjeri	CWE	Opis
[ ] Ograničenja Veličine	CWE-400	MAX_PAYLOAD_SIZE proveden (zadano: 64KB)
[ ] Integer Overflow	CWE-190	SafeAdd(), checked_add(), checked aritmetika
[ ] Null Provjere	CWE-476	Na svim API granicama
[ ] Nema Unwrap na Inputu	CWE-248	Pravilna obrada grešaka, nema panic kod malformed podataka
[ ] Parametrizirani Upiti	CWE-89	Nikada string konkatenacija za SQL
[ ] Validacija Znakova	-	Bijela lista za identifikatore gdje je prikladno

Obrada Grešaka

Provjeri	CWE	Opis
[ ] Sanitizirane Poruke	CWE-209	Nema putanja/verzija/stack traces klijentu
[ ] Potpuno Logiranje Grešaka	-	Logiraj kompletnu grešku interno prije sanitizacije
[ ] Nema Panic u Servisu	CWE-248	Graceful oporavak od greške, servis ostaje pokrenut
[ ] Stack Trace Očuvan	-	Re-throw bez wrappinga

Dostupnost (DoS Zaštita)

Provjeri	CWE	Opis
[ ] Ograničavanje Stope	CWE-400	Token bucket po klijentu/endpointu
[ ] Ograničenja Veličine Zahtjeva	CWE-400	Odbij prevelike payload rano
[ ] Sigurnost Zaključavanja	CWE-667	Mehanizam oporavka zaključavanja
[ ] Čišćenje Resursa	CWE-772	try-finally, using, defer, RAII - uvijek
[ ] Rukovanje Timeoutima	CWE-400	Timeouts na svim vanjskim operacijama

Sigurnost Niti

Provjeri	CWE	Opis
[ ] Lock Poisoning Obrađen	CWE-667	Oporavak od otrovanih lockova
[ ] Nema Race Conditions	CWE-362	Thread-safe podatkovne strukture
[ ] Atomske Operacije	CWE-362	Za brojače, zastavice, dijeljeno stanje
[ ] Prevencija Deadlocka	CWE-833	Redoslijed zaključavanja, timeouts

Revizija & Usklađenost

Provjeri	Standard	Opis
[ ] Sve Promjene Logirane	ISO 27001 A.12.4	Promjene podataka s korisnikom, vremenskom oznakom, stara/nova vrijednost
[ ] Sigurnosni Događaji Logirani	NIS2 Art. 21	Neuspjela auth, ograničavanje stope, sumnjiv input
[ ] Rotacija Log Datoteka	-	Inkrementalni format
[ ] Nema Osjetljivih Podataka u Logovima	CWE-532	Revizija za slučajno izlaganje

Brza Referenca - Po Vrsti Napada

Kriptografski Napadi:

[ ] Ponovna uporaba nonce spriječena
[ ] Timing napadi ublaženi (constant-time usporedba)
[ ] Replay napadi blokirani
[ ] Enumeracija ključeva spriječena (nasumični ID-ovi)

Napadi na Input:

[ ] Buffer overflow spriječen (ograničenja veličine)
[ ] Integer overflow spriječen
[ ] Malformed input obrađen
[ ] SQL injection spriječen

Napadi na Dostupnost:

[ ] Iscrpljivanje resursa spriječeno (ograničavanje stope)
[ ] Lock poisoning obrađen
[ ] Iscrpljivanje memorije spriječeno

Otkrivanje Informacija:

[ ] Poruke o greškama sanitizirane
[ ] Tajne nulirane nakon uporabe
[ ] Nema osjetljivih podataka u logovima

<wvds:audit:template critical=„true“> Nema exec/shell_exec/system poziva Nema eval() poziva Output escaping SQL injection prevencija CSRF zaštita </wvds:audit:template>

Verzija: 2.0 (Split)
Autor: Wolfgang van der Stille

Natrag na Sigurnosne Kontrolne Liste | Kontrolne Liste za Pregled

Inhaltsverzeichnis