Cosa si intende per "Call Stack" nel contesto di una revisione OWASP?

Naviga le tue risposte
1

Sto studiando le misure e la metodologia di revisione OWASP livello 2. Lo sto applicando a un software che sto progettando e sviluppando ora, quindi l'obiettivo è scrivere il software nel modo corretto in modo che passi la recensione di livello 2.

Lo standard OWASP è qui: link

Ora c'è un piccolo prezioso aiuto per la guida: link

In questa guida, i passaggi 1 e 2 sono chiari per me. Tuttavia, il passaggio 3 non è chiaro:

The last step is to identify call stacks for application requests, using the block diagram from the previous step as guidance.

So cosa è uno stack di chiamate nel contesto di diversi linguaggi di programmazione e ambienti. Ma non ho affatto capito il punto 3. Qualcuno potrebbe aiutarmi a capire, quali sono esattamente i risultati del passaggio 3?

Lo "stack di chiamate" è qui sinonimo di "UML call graph"? Se sì, è il compito di mostrare come un comando web viene gestito attraverso tutti i livelli tecnici giù e indietro di nuovo?

    
posta peter_the_oak 16.03.2016 - 11:34
fonte

1 risposta

2

Sì.

Non sono un esperto di OWASP ma leggendo la guida collegata mi sembra che vogliano che tu:

  1. Identifica i componenti.
  2. Disegna i componenti in un diagramma dell'architettura a livelli
  3. Mostra come la richiesta passa attraverso questi livelli.

Riesco a vedere come il passaggio 3 qui potrebbe essere utile, in quanto è possibile vedere quali richieste richiedono la sicurezza e vedere quali livelli passano quelle richieste.

Ad esempio, se hai il requisito che i dati dei clienti a riposo vengano crittografati, vedendo che le informazioni sulla carta di credito di un cliente raggiungono il livello di persistenza potrebbero segnalare che è necessario crittografare il livello di persistenza su disco.

    
risposta data 16.03.2016 - 12:43
fonte

Leggi altre domande sui tag

Il modo corretto di usare Sessioni (PHP)? Algoritmo e struttura dati per commenti di testo