Esiste un foglio di calcolo / modello per la mappatura delle regole di autorizzazione dei servizi Web?

Naviga le tue risposte
6

Sto cercando un foglio di lavoro / modello che consenta la mappatura, la visualizzazione e l'analisi delle regole di business (ad esempio "chi ha accesso a cosa")

In passato ne ho creati un paio (alcuni anche con l'automazione utilizzando la piattaforma O2 ), ma le NDA mi hanno impedito di condividere . Quindi aiutando con una serie di script Python per testare i WebServices di TeamMentor, Mi sono preso il tempo per creare un modello che ritengo sia uscito piuttosto bene.

Puoi leggerlo qui: Creare un foglio di calcolo con i mapping di autorizzazione di WebService e questo è come appare:

link

Dalmomentochehointenzionediintegrarequestocon O2 dopo, è più facile cambiarlo in un formato / standard migliore ora (vs in seguito).

Penso anche che dovremmo avere un paio di questi modelli in un formato facile da consumare sul Wiki OWASP (ho perso il conto del numero di volte che ho cercato di spiegare la necessità di "tali tabelle / mappature di autorizzazione" senza avere buoni esempi a portata di mano).

Nota che la creazione di questi mapping è solo una parte del puzzle! Altrettanto importante è la capacità di mantenerlo ben mantenuto, aggiornato e pertinente.

    
posta Dinis Cruz 04.05.2012 - 11:49
fonte

2 risposte

1

Oh male! È un problema interessante, visto che alcuni dei più grandi provider LDAP (che sei AD!) Non riconoscono nemmeno i servizi come sicuri e IMHO che dovrebbero davvero: IFF hai la possibilità di utilizzare un provider LDAP standardizzato per la gestione dei ruoli, quindi puoi Scorri molte offerte di vendor per strumenti che ti aiutano in questo - la linea di fondo è non rilasciare la tua autorizzazione, prova e piggyback su un provider LDAP esistente dove puoi impostare OU, gruppi, ecc per gestirlo per te e poi utilizzare catene di strumenti standard per monitorare / segnalare questo Un altro punto: prova a creare le tabelle a cui le persone si riferiscono nel momento in cui le richiedono, non memorizzano copie stantie - le persone vanno e vengono, le app vanno e vengono, le autorizzazioni cambiano

    
risposta data 12.10.2012 - 18:50
fonte
0

Dovresti anche esaminare gli standard di autorizzazione basati su policy come XACML . XACML consente di definire l'autorizzazione utilizzando gli attributi utente e risorsa espressi insieme in una serie di politiche.

    
risposta data 12.11.2013 - 14:58
fonte

Leggi altre domande sui tag

Video e tutorial visivi sulle vulnerabilità delle stringhe di formato Cookie di set di applicazioni Web basato su un parametro GET. È vulnerabile?