W4 - Software Security II Flashcards
(19 cards)
Waarvoor staat STRIDE?
Spoofing
Tampering
Repudiation
Information Disclosure
Elevation of privilege
Wat is Spoofing?
Voordoen als iemand/iets anders.
Wat is Tampering?
Gegevens manipuleren.
Wat is Repudiation?
Sporen wissen.
Wat is Information Disclosure?
Gegevens bemachtigen.
Wat is Elevation of privilege?
Autorisatie manipuleren.
Wanneer wordt STRIDE gebruikt?
Voor het inventariseren van risico’s, dreigingen en gevaren m.b.t. software security.
Welke gevaar is er binnen Software Security?
Input.
Welke maatregelen kan je nemen tegen het gevaar van Software Security?
- Invoer controleren / beperken.
- Uitschakelen interpreter.
- Encapsulatie.
Wat is authenticatie en wat is autorisatie?
Authenticatie = toegang
Autorisatie = rechten & beperkingen
Welke maatregelen moet je nemen m.b.t. autorisatie?
- Toegang beperken.
- Minimaal benodigde toegangsrechten.
- Geen admins.
Wat is SQL Injection?
- Hacking tehniek
- Invoervelden gebruikt
- om SQL statements die o.b.v. die velden worden uitgevoerd te manipuleren
Waardoor ontstaat SQL injection vooral?
Concatenatie bij opbouwen van SQL-statement, zonder voorgaande controle.
Hoe kan SQL injection worden voorkomen?
- Parameteriseren
- Invoercontrole
- DB users, beperkte rechten
Wat is XSS?
Cross Site Scripting
- Hacking techniek
- Script code toevoegen via een interface d.m.v. invoervelden
- Zodat deze code wordt uitgevoerd.
Wanneer controleer je Software Security?
- Bekende risico’s
- Code Check-in
- Test fase
- Security Review
Waarom is Client-side security een contradictio in terminis?
idk
Wat te doen m.b.t. invoergegevens controleren?
- All input is evil
- Input chokepoint
- Reguliere expressies
- Controle bij grensoverschreiding
Cryptografie.
- Veilig als sleutel
- Sleutel bij bron
- Gegevens BETER beveiligen
