يتبع Spurtcommerce مبادئ OWASP لأمانه المدمج.

اختبار تعريف الأدوار - WSTG-IDNT-01

يمكن للبائعين الآن تحديد المنطقة الزمنية المفضلة لديهم، مما يضمن عرض الطوابع الزمنية للطلبات والتقارير والمواعيد النهائية للتنفيذ والإشعارات في وقتهم المحلي. تسهل هذه الميزة العمليات للبائعين الذين يديرون أعمالًا عبر مناطق متعددة. .

اختبار عملية تسجيل المستخدم - WSTG-IDNT-02

استخدمنا البريد الإلكتروني كهوية للمستخدمين. يمكن للمستخدمين التسجيل بإدخالات أساسية وسيكون البريد الإلكتروني فريدًا لكل مستخدم. لا يمكن استخدام نفس البريد الإلكتروني لحسابات مستخدمين متعددة.

اختبار عملية توفير الحساب - WSTG-IDNT-03

يمكن للمسؤول فقط اتخاذ إجراء لتوفير الوصول للمستخدمين ويمكنه أيضًا إلغاء توفير المستخدم.

اختبار تعداد الحسابات وحسابات المستخدمين القابلة للتخمين - WSTG-IDNT-04

يقوم نظام Spurtcommerce بقفل حساب المستخدم على فترات معينة. في هذه الحالة، لا يمكن للمهاجم تخمين أسماء المستخدمين وكلمات المرور.

اختبار سياسة أسماء المستخدمين الضعيفة أو غير المفروضة - WSTG-IDNT-05

في هذا المشروع للتجارة الإلكترونية، لا نقدم أي رسالة خطأ تتعلق بأسماء الحسابات القابلة للتخمين ونستخدم فقط البريد الإلكتروني الفريد كاسم المستخدم.

اختبار نقل بيانات الاعتماد عبر قناة مشفرة - WSTG-ATHN-01

يتم حماية البيانات الحساسة عند نقلها عبر الشبكة وقد استخدمنا HTTPS للمنصة وقمنا بإعادة توجيه أي طلبات HTTP إلى HTTPS.

اختبار بيانات الاعتماد الافتراضية - WSTG-ATHN-02

قمنا بتكوين المنصة بحيث تكون كلمات مرور المستخدم غير قابلة للتخمين. لا يمكن للمستخدم إعطاء كلمة مرور تكرر بالكامل أو جزئيًا أسماء المستخدمين ويجب أن تحتوي كلمات المرور على أحرف خاصة وأرقام وحروف كبيرة.

اختبار آلية القفل الضعيفة - WSTG-ATHN-03

يقيم قدرة آلية قفل الحساب على التخفيف من تخمين كلمات المرور بالقوة الغاشمة. ثم يقيم مقاومة آلية الفتح لفتح الحساب غير المصرح به. بعد 5 محاولات ناجحة، قمنا بتكوين قفل حساب المستخدم لبعض الوقت وقد تم ذلك لمنع المهاجمين من تخمين كلمات المرور.

اختبار تجاوز مخطط المصادقة - WSTG-ATHN-04

يضمن تطبيق المصادقة عبر جميع الخدمات التي تتطلبها. تقوم منصتنا بمصادقة المستخدم في كل طلب باستخدام وسيط. لن يتمكن أي شخص غير مصرح له من الوصول إلى أي طلب دون المرور عبر المصادقة.

اختبار كلمة المرور الضعيفة - WSTG-ATHN-05

يتحقق من أن الجلسة التي تم إنشاؤها تُدار بشكل آمن ولا تعرض بيانات اعتماد المستخدم للخطر. ولا يتم حفظ كلمة المرور في المتصفح.

اختبار ضعف ذاكرة التخزين المؤقت للمتصفح - WSTG-ATHN-06

يراجع ما إذا كانت المنصة تخزن معلومات حساسة على جانب العميل. ثم يراجع ما إذا كان الوصول يمكن أن يحدث بدون تفويض.

اختبار سياسة كلمة المرور الضعيفة - WSTG-ATHN-07

يحدد مقاومة المنصة ضد تخمين كلمات المرور بالقوة الغاشمة باستخدام قواميس كلمات المرور المتاحة من خلال تقييم طول كلمات المرور وتعقيدها وإعادة استخدامها ومتطلبات عمرها. قمنا بحماية المنصة بكلمات مرور غير قابلة للتخمين.

اختبار تغيير كلمة المرور أو وظائف إعادة التعيين الضعيفة - WSTG-ATHN-09

اختبار تغيير كلمة المرور أو وظائف إعادة التعيين الضعيفة - WSTG-ATHN-09

اختبار تجاوز مخطط التفويض - WSTG-ATHZ-02

يمكن للمستخدم الوصول فقط إلى الوحدات التي يمكنه الوصول إليها. لا يمكنهم الوصول إلى وحدات أخرى حتى إذا كانوا يعرفون عناوين URL التي يمكن من خلالها الوصول إلى الوحدة. تم ذلك باستخدام وسيط يتحقق من صحة المستخدم والأذونات التي لديه.

اختبار تصعيد الامتيازات - WSTG-ATHZ-03

لا يمكن للمستخدم منح الوصول إلى وحدة بنفسه ولأي مستخدم، يمكن توفير الوصول فقط من قبل المستخدمين الإداريين الأعلى رتبة.

message. Security_one_40_1 WSTG-ATHZ-04

يحدد النقاط التي قد تحدث فيها مراجع الكائنات. كما يقيم تدابير التحكم في الوصول وما إذا كانت عرضة لـ IDOR. تقوم المنصة بالتحقق من الطلب وتفحص قاعدة البيانات وتتحقق من البيانات مع المستخدم. لذلك، لا يمكن للمهاجمين أو القراصنة استرداد سجلات المستخدمين الآخرين.

اختبار مخطط إدارة الجلسة - WSTG-SESS-01

تجمع المنصة رموز الجلسة لنفس المستخدم وللمستخدمين المختلفين حيثما أمكن ذلك. في هذا المشروع للتجارة الإلكترونية، قمنا بإدخال رموز للمصادقة وستكون الرموز التي يتم إنشاؤها فريدة لكل مستخدم وستكون الرموز التي يتم إنشاؤها مشفرة أيضًا.

اختبار وظيفة تسجيل الخروج - WSTG-SESS-06

يقيم واجهة تسجيل الخروج. ثم يحلل انتهاء صلاحية الجلسة وما إذا كانت الجلسة تُقتل بشكل صحيح بعد تسجيل الخروج. تحفظ المنصة الرمز الذي تم إنشاؤه في قاعدة البيانات وفي كل طلب، يتحقق النظام مما إذا كان الرمز موجودًا في قاعدة البيانات. إذا لم يكن كذلك، يتم إرجاع الطلب متبوعًا برسالة خطأ. ثم أثناء تسجيل الخروج، يتم حذف الرمز من قاعدة البيانات. .

اختبار تلوث معلمات HTTP - WSTG-INPV-04

في مشروع Spurtcommerce، استخدمنا ملفات الطلب لكل طلب وفي الطلب، يمكنهم استخدام المعلمات الخاصة فقط.

اختبار حقن SQL - WSTG-INPV-05

تتحقق المنصة من كل قيمة معلمة وتطهر أي مدخلات من هجوم XSS.

اختبار حقن SSI - WSTG-INPV-08

لا تسمح المنصة ببعض الأحرف لبعض المعلمات وقد تم ذلك لتقييد المهاجمين.

اختبار حقن IMAP SMTP - WSTG-INPV-10

تتحقق المنصة من معلمة نص البريد الإلكتروني مع أي هجمات القوة الغاشمة حتى لا يتمكن المهاجم من تضمين علامات html أو أي نوع من النصوص البرمجية.

اختبار حقن الأكواد - WSTG-INPV-11

تتحقق المنصة أيضًا من معلمة الطلب، وتتحقق مما إذا كان لديها رمز في المعلمات. إذا كان الرمز موجودًا، فإنه يعيد رسالة خطأ.

اختبار حقن الأوامر - WSTG-INPV-12

تتحقق المنصة من معلمة الطلب، وتتحقق مما إذا كان لديها رمز سطر الأوامر في المعلمات. إذا كان موجودًا، فإنه يعيد رسالة خطأ.

اختبار حقن سلسلة التنسيق - WSTG-INPV-13

تقييد المنصة السلسلة التي تسبب أي سلوك غير مرغوب فيه من المنصة.

اختبار حقن القوالب من جانب الخادم - WSTG-INPV-18

في المنصة، استخدمنا قالب ejs في جانب الخادم. هذا يقيد بناء الجملة الأصلي للقالب في معلمات الطلب.

اختبار ضعف طبقة النقل الآمنة - WSTG-CRYP-01

استخدمنا HTTPS لمراجعة قوة وصلاحية الشهادة الرقمية.

اختبار إرسال المعلومات الحساسة عبر قنوات غير مشفرة - WSTG-CRYP-03

استخدمنا HTTPS لتجنب تمامًا نقل أي معلومات حساسة عبر القنوات ويقوم النظام بتقييم الخصوصية والأمان للقنوات المستخدمة في صيغة التشفير.

اختبار ضعف التشفير - WSTG-CRYP-04

لأي معلومات حساسة، يقوم النظام بإنشاء تشفير AES. هذا مفتاح سري مكون من 64 حرفًا وهو آمن للغاية ويمنع أي هجمات.

اختبار التحقق من بيانات منطق الأعمال - WSTG-BUSL-01

تأكدنا من أن جميع التحقق من منطق الأعمال سيتم تنفيذه من الخلفية وأن نظامنا لا يثق أبدًا ببيانات المستخدم.

اختبار القدرة على تزوير الطلبات - WSTG-BUSL-02

تأكدنا من أن التحقق من البيانات المخفية يتم أيضًا في الخلفية وأن النظام سيتم منعه من الطلبات المزورة.

اختبار فحوصات النزاهة - WSTG-BUSL-03

استخدمنا ACL وقمنا أيضًا بتدقيق كل إجراء يتم تنفيذه في نظامنا. يمكن رؤية ذلك من قبل المسؤول ويمكن للمسؤول رؤية تقرير كامل عن الإجراءات التي قام بها كل مستخدم ومتى (الوقت المحدد) تم تنفيذ هذا الإجراء.

اختبار تجاوز تدفقات العمل - WSTG-BUSL-06

قمنا أيضًا بتنفيذ تدفق خطوة بخطوة في النظام. فقط بعد الانتهاء بنجاح من التدفقات الرئيسية، يمكن تنفيذ التدفقات اللاحقة.

اختبار تحميل أنواع الملفات غير المتوقعة - WSTG-BUSL-08

سمحنا ببعض أنواع الملفات المتوقعة فقط لتحميل المستندات ويقوم النظام بتقييد الملفات ذات الامتدادات .php، .jsp و .aspx.

اختبار تحميل الملفات الضارة - WSTG-BUSL-09

فقط هذه الملفات ذات الامتدادات - pdf، xlsx، doc و docx سيتم السماح بتحميلها والباقي جميع الملفات ذات الامتدادات الأخرى يتم تقييدها. .

اختبار إعادة توجيه عنوان URL من جانب العميل - WSTG-CLNT-04

اختبار حقن CSS - WSTG-CLNT-05

عرض أسماء ملفات CSS من عرض مصدر الصفحة هو أحد الثغرات. واجهتنا الأمامية التي تم بناؤها على Angular تغير اسم CSS وتستبدل الأسماء بأسماء فريدة غير قابلة للتخمين.

اختبار النقر - WSTG-CLNT-09

عرض نظامنا في iframe هو أحد الثغرات. نحن نمنع عرض نظامنا في iframes.

اختبار تخزين المتصفح - WSTG-CLNT-12

نخزن الرمز في التخزين المحلي وفي جانب الخادم، نستخدم وسيط للتحقق من الرمز. لن يثق ببيانات العميل.

اختبار تضمين النصوص عبر المواقع - WSTG-CLNT-13

نمنع تسرب أي معلومات حساسة من النظام. .

اختبار GraphQL - WSTG-APIT-01

قمنا بتأمين تكوين جاهز للإنتاج في النشر والتحقق من أن جميع المدخلات من هجوم XSS.