1

我在项目审计方面需要建议。

目前我正在开发的项目有许多“用户”可以执行的操作,例如:

  • 更改自己的密码
  • 添加、删除权限
  • 添加、删除角色
  • 上传文件
  • 好多其它的..

用户可以访问的所有这些操作都经过审核,但是我不知道是否通常例如审核以下内容:

密码策略规定用户密码必须至少包含 1 个符号和 1 个数字。某些用户在特定时间试图更改他的密码而不关心策略,他当然会收到一条消息,指出密码策略不受尊重,但这应该被审计吗?我只是想从以前审计过或知道此事的人那里得到意见。

另一种可能的情况是,当用户尝试删除不存在的内容时,例如,拥有一个空的权限列表并尝试删除一个不存在的权限,用户将再次收到一条消息说选择在至少有一个删除权限,但是否应该审核此操作?

欢迎任何反馈,我第一次审核项目,谢谢:)

4

1 回答 1

2

这在很大程度上取决于您的要求。客户或业务法规有什么要求?您想审核以使您的系统更安全吗?(通过了解恶意用户的行为)

通过“审计”,您是指将其记录在文件中还是将其插入数据库以获取统计信息?

编辑 审核一切可能有点贵,所以我建议您按优先级顺序列出项目。我的清单看起来像这样。

  • 任何 500 http 错误(这通常很容易做到)
  • 登录(成功和失败)
  • 更改对业务重要的任何实体(例如更改个人数据)和/或对应用程序重要的实体(如您提到的向用户添加/删除角色)。
  • 访问被拒绝错误(登录用户,试图访问他不允许访问的站点的一部分)
  • 伪造的网址(尽管数据库中没有具有该 ID 的项目,但使用 666 访问项目)
  • 返回 404(探测应用程序的潜在用户)的 URL。

同样,我的清单,您可能需要自己提出。因为您可能希望进行更高级的审核,例如“在网站上花费的时间”。

另一件重要的事情:尽可能使日志具有可读性和可搜索性。

于 2011-03-10T12:38:00.123 回答