Desidero scrivere una recensione di sicurezza per un'applicazione server / client Windows specifica che funziona su una rete LAN o WAN chiusa (tra 1 e 200+ utenti su più siti); non è un'applicazione web. L'applicazione è ampiamente utilizzata (leader di mercato) all'interno di un settore nel mio paese e le informazioni memorizzate all'interno dell'applicazione sono molto sensibili.
I tipi di problemi che ho già identificato sono:
- Utilizzo di un nome utente e una password del database predefiniti (accesso completo all'amministratore). Questo login è mantenuto in testo normale all'interno della cartella dell'applicazione.
- Memorizzazione delle password utente in testo normale all'interno del database
- Nessun requisito per la password complessa
- Utenti che hanno accesso a strumenti all'interno dell'applicazione in grado di eseguire query SQL (con privilegi completi, nonostante i loro limiti di privilegi a livello di applicazione)
- Un servizio server HTTP in esecuzione su tutte le macchine client che risponde alle richieste API. Nessun utente / password richiesti.
- Condivisione file predefinita con tutti i file dell'applicazione incluso il file contenente il database / nome utente / password
- Verifica delle informazioni sulle azioni degli utenti (che possono essere facilmente alterate / eliminate / mascherate - vedi qualsiasi delle precedenti!) che sono state utilizzate come prova in casi di frode / legale / HR da milioni di dollari
Non ho nemmeno guardato cose come buffer overflow, SQL injection ecc; ma un collega si è offerto di aiutarmi con questo.
Come sono un po 'nuovo a questo; Sto pensando che si tratterebbe di una revisione tecnica (simile a un articolo di giornale pubblicato) non richiesta dal venditore? Gli utenti più grandi di questo software spesso lo proteggono nel miglior modo possibile; Suppongo che potrei scrivere una guida "hardening" invece?
Qualcuno può fornirmi un consiglio:
- Qualche consiglio generale basato su quanto sopra?
- Devo scrivere una recensione sulla sicurezza o una guida all'indurimento?
- Ci sono alcuni buoni esempi di tipi simili di recensioni? (Riesco a trovare così tante recensioni di applicazioni Web, ma non a quelle di applicazione, tuttavia un paio di quelle SCADA erano utili
Grazie!