是否有用于映射 Web 服务授权规则的电子表格/模板?

信息安全 网络服务 owasp 授权
2021-08-24 08:13:30

我正在寻找一个允许映射、可视化和分析业务规则(即“谁有权访问什么”)的电子表格/模板。

在过去,我创建了其中的几个(有些甚至使用O2 平台进行自动化),但 NDA 阻止我分享。因此,在帮助使用一组 Python 脚本来测试 TeamMentor 的 WebServices 时,我花时间创建了一个我认为效果很好的模型。

您可以在此处阅读:使用 WebService 的授权映射创建电子表格,这就是它的样子:

https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0AhHDFVmo550OdDZUcDU5eXpGVGFKWDZjS3VGUHdUTXc

带有授权规则的电子表格

由于我接下来要将其与O2集成,因此现在(相对于以后)将其更改为更好的格式/标准更容易。

我还认为我们应该在 OWASP Wiki 上以一种易于使用的格式拥有几个这样的模板(我已经记不清我试图解释需要“这样的授权表/映射”而没有好的次数了)手头的例子)。

请注意,创建这些映射只是难题的一部分!同样重要的是能够保持良好的维护、最新和相关性。

2个回答

哦哦!这是一个有趣的问题,因为一些较大的 LDAP 提供者(那是你的广告!)甚至不承认服务是安全的,恕我直言,他们确实应该 - 如果你有能力使用一些标准化的 LDAP 提供者进行角色管理,那么你可以搜寻许多供应商提供的工具来帮助您解决这个问题 - 底线是不要滚动您自己的授权,尝试并搭载到现有的 LDAP 提供程序上,您可以在其中设置 OU、组等来为您处理此问题,然后使用标准工具链来监控/报告这一点 另一点 - 尝试创建人们在需要时引用的表格,不要存储过时的副本 - 人们来来去去,应用程序来来去去,授权改变

您还应该查看基于策略的授权标准,例如XACMLXACML 允许您使用在一组策略中一起表示的用户和资源属性来定义授权。

其它你可能感兴趣的问题
上一篇如何删除或匿名化存储在已编译的 .NET exe 输出中的文件名和路径? 下一篇我是否应该确保我的所有 OpenPGP uid 都已签名?