Varnostni Kontrolni Seznam (KRITIS/NIS2)

Različica: 2.0
Obseg: Crypto, varnost pomnilnika, razpoložljivost, razkritje informacij, varna obravnava napak.

Celovit varnostni kontrolni seznam osnovan na CWE ranljivostih in vzorcih napadov.

Kriptografska Varnost

Preveri	CWE	Opis
[ ] Edinstvenost Nonce	CWE-323	AES-GCM nonce edinstven na šifriranje (KRITIČNO!)
[ ] Sledenje Nonce	CWE-323	Sledi uporabljenim nonce, uveljavi MAX_NONCES_PER_KEY
[ ] Rotacija Ključev	CWE-323	Rotiraj ključ po doseženi omejitvi nonce
[ ] Kriptografski RNG	CWE-330	OpenSSL/OS CSPRNG za ključe/nonce
[ ] Naključni ID	CWE-330	Brez zaporednih ključ/seja ID
[ ] Constant-time Primerjava	CWE-208	Za skrivnosti, MAC, tokene, API ključe
[ ] Zaščita pred Replay	CWE-294	Sledenje nonce/časovnega žiga/zaporedja
[ ] Šifriranje Kanala	CWE-300	mTLS za zunanjo komunikacijo

Varnost Pomnilnika

Preveri	CWE	Opis
[ ] Ničenje Pomnilnika	CWE-316	Počisti skrivnosti po uporabi
[ ] Brez Skrivnosti v Dnevnikih	CWE-532	Nikoli ne beleži ključev, gesel, tokenov
[ ] Varno Ravnanje z Nizi	CWE-316	SecureString (C#), secrecy (Rust)
[ ] Material Ključa Počiščen	CWE-316	try-finally zagotavlja čiščenje ob izjemi

Validacija Vnosov

Preveri	CWE	Opis
[ ] Omejitve Velikosti	CWE-400	MAX_PAYLOAD_SIZE uveljavljen (privzeto: 64KB)
[ ] Integer Preliv	CWE-190	SafeAdd(), checked_add(), checked aritmetika
[ ] Null Preverjanja	CWE-476	Na vseh API mejah
[ ] Brez Unwrap na Vnosu	CWE-248	Pravilna obravnava napak, brez panic ob malformed podatkih
[ ] Parametrizirane Poizvedbe	CWE-89	Nikoli veriženje nizov za SQL
[ ] Validacija Znakov	-	Beli seznam za identifikatorje kjer primerno

Obravnava Napak

Preveri	CWE	Opis
[ ] Sanitizirana Sporočila	CWE-209	Brez poti/različic/stack traces stranki
[ ] Polno Beleženje Napak	-	Beleži celotno napako interno pred sanitizacijo
[ ] Brez Panic v Storitvi	CWE-248	Graceful okrevanje ob napaki, storitev ostane gor
[ ] Stack Trace Ohranjen	-	Ponoven met brez ovijanja

Razpoložljivost (DoS Zaščita)

Preveri	CWE	Opis
[ ] Omejevanje Hitrosti	CWE-400	Token bucket na stranko/končno točko
[ ] Omejitve Velikosti Zahtev	CWE-400	Zavrni prevelike payloade zgodaj
[ ] Varnost Zaklepanja	CWE-667	Mehanizem okrevanja zaklepanja
[ ] Čiščenje Virov	CWE-772	try-finally, using, defer, RAII - vedno
[ ] Ravnanje s Časovnimi Omejitvami	CWE-400	Časovne omejitve na vseh zunanjih operacijah

Varnost Niti

Preveri	CWE	Opis
[ ] Zastrupitev Zaklepov Obravnavana	CWE-667	Okrevanje iz zastrupljenih zaklepov
[ ] Brez Race Conditions	CWE-362	Niti-varne podatkovne strukture
[ ] Atomske Operacije	CWE-362	Za števce, zastavice, deljeno stanje
[ ] Preprečevanje Deadlockov	CWE-833	Vrstni red zaklepanja, časovne omejitve

Revizija & Skladnost

Preveri	Standard	Opis
[ ] Vse Spremembe Zabeležene	ISO 27001 A.12.4	Spremembe podatkov z uporabnikom, časovnim žigom, staro/novo vrednostjo
[ ] Varnostni Dogodki Zabeleženi	NIS2 Art. 21	Neuspela auth, omejevanje hitrosti, sumljiv vnos
[ ] Rotacija Log Datotek	-	Inkrementalni format
[ ] Brez Občutljivih Podatkov v Dnevnikih	CWE-532	Revizija za nenamensko izpostavitev

Hitra Referenca - Po Vrsti Napada

Kriptografski Napadi:

[ ] Ponovna uporaba nonce preprečena
[ ] Časovni napadi omiljeni (constant-time primerjava)
[ ] Replay napadi blokirani
[ ] Naštevanje ključev preprečeno (naključni ID-ji)

Napadi na Vnose:

[ ] Buffer overflow preprečen (omejitve velikosti)
[ ] Integer overflow preprečen
[ ] Malformed vnosi obravnavani
[ ] SQL injection preprečen

Napadi na Razpoložljivost:

[ ] Izčrpanje virov preprečeno (omejevanje hitrosti)
[ ] Lock poisoning obravnavan
[ ] Izčrpanje pomnilnika preprečeno

Razkritje Informacij:

[ ] Sporočila o napakah sanitizirana
[ ] Skrivnosti ničene po uporabi
[ ] Brez občutljivih podatkov v dnevnikih

<wvds:audit:template critical=„true“> Brez exec/shell_exec/system klicev Brez eval() klicev Output escaping SQL injekcija preprečevanje CSRF zaščita </wvds:audit:template>

Različica: 2.0 (Split)
Avtor: Wolfgang van der Stille

Nazaj na Varnostni Kontrolni Seznami | Kontrolni Seznami za Preglede

Inhaltsverzeichnis