ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା

ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା ସାଇବର ସୁରକ୍ଷାର ଏକ ଅଂଶ ଅଟେ । ଏହା ମୁଖ୍ୟ ଉଦ୍ଦେଶ୍ୟ ହେଲା ସଫ୍ଟୱେର୍ ବିକାଶ କରିବା ସମୟରେ ଏଥିରେ କାମ କରୁଥିବା ଲୋକମାନେ କିପରି ସବୁ ଦିଗରୁ ସୁରକ୍ଷାକୁ ଧ୍ୟାନରେ ରଖି ସଫ୍ଟୱେର ତିଆରି କରିବେ । ସଫ୍ଟୱେର୍ ପ୍ରୋଗ୍ରାମରେ ଥିବା ଦୁର୍ବଳତାକୁୁ ଖୋଜି ବାହାର କରିବା, ଠିକ୍ କରିବା ଓ ସୁରକ୍ଷାଜନିତ ସମସ୍ୟାରୁ କିପରି ରୋକାଯାଇପାରିବ ସେଥିପାଇଁ ଚେଷ୍ଟିତ ହେବା ସୁରକ୍ଷାର ବିଭିନ୍ନ ଦିଗ ମଧ୍ୟରୁ ଅନ୍ୟତମ ଏବଂ ଏହା ସଫ୍ଟୱେର ବିକାଶ ଧାରାରେ ଗ୍ରାହକଙ୍କ ଆବଶ୍ୟକତାଠାରୁ ଆରମ୍ଭ କରି ସଠିକ୍ ଭାବରେ କାର୍ଯ୍ୟ କରୁଥିବା ଉପ୍ତାଦଟିଏ ବିକଶିତ କରିବା ପର୍ଯ୍ୟନ୍ତ ଚାଲିଥାଏ ।

ପ୍ରକ୍ରିୟା

ସଫ୍ଟୱେର୍ ତିଆରି କରିବା ସମୟରେ ବିଭିନ୍ନ ପ୍ରକାର ଉପାୟ ଅବଲମ୍ବନ କରାଯାଏ, ସେଗୁଡିକ ହେଲା

• ଗଠନ * ଯୋଜନା କରିବା ସମୟରେ ଏହାର ଗଠନକୁ ପୁଂଖାନୁପୁଖ ଭାବେ ଅନୁଧ୍ୟାନ କରାଯାଏ ।
• କୋଡ୍ ସମୀକ୍ଷା * ସୁରକ୍ଷା ବିଶେଷଜ୍ଞମାନେ ଅତି ଗଭୀର ଭାବରେ ସଫ୍ଟୱେର୍ ପ୍ରୋଗ୍ରାମର ଉତ୍ସକୁ ନିରୀକ୍ଷଣ କରି ତ୍ରୁଟି ଖୋଜିଥାନ୍ତି । ଏହାକୁ White Box Security review ମଧ୍ୟ କୁହାଯାଏ ।
• ବ୍ୟବହାର * ଆପ୍ଲିକେସନ୍କୁ ବ୍ୟବହାର କରାଯାଇ ସୁରକ୍ଷା ଦୁର୍ବଳତା ନିରୂପଣ କରାଯାଏ । ଏହାକୁ Black Box Security review ମଧ୍ୟ କୁହାଯାଏ ।
• ସ୍ୱୟଂଚାଳିତ ପ୍ରକ୍ରିୟା * ଏଥିରେ ଆଉ ଏକ ବିଶେଷ ଧରଣର ସଫ୍ଟୱେର୍ ଏହାକୁ ଟେଷ୍ଟ କରିଥାଏ ଓ ରିପୋର୍ଟ ତିଆରି କରିଥାଏ ।
• ବାହ୍ୟ ସେବା * ଏପରି କିଛି ୱେବସାଇଟ୍ ଅଛନ୍ତି ଯେଊମାନେ ଏହାକୁ ଏକ ସେବା ଭାବେ ଯୋଗାଇଦେଇଥାନ୍ତି । ସେଠାରେ ସାରା ବିଶ୍ୱର ଦକ୍ଷ ସଫ୍ଟୱେର୍ ଟେଷ୍ଟରମାନଙ୍କଦ୍ୱାରା ଅତ୍ୟନ୍ତ ଗଭୀର ଭାବେ ପରାକ୍ଷା କରାଯାଏ ।

ୱେବ ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା ^{[୧][୨][୩]}

ୱେବ ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷା ତଥ୍ୟ ସୁରକ୍ଷାର ଅଂଶବିଶେଷ ଯାହା ୱେବସାଇଟ୍, ୱେବ ଆପ୍ଲିକେସନ୍ ଓ ୱେବ ସର୍ଭିସେସ୍ର ସୁରକ୍ଷାକୁ ବୁଝାଇ ଥାଏ । ଏହା ଆପ୍ଲିକେସନ୍ ସୁରକ୍ଷାର ତତ୍ତ୍ୱକୁ ବ୍ୟବହାର କରି ଇନ୍ଟରନେଟ୍ ଓ ୱେବର ସୁରକ୍ଷା ପାଇଁ ବ୍ୟବହାର କରାଯାଏ ।

ଶୀର୍ଷ ୧୦ଟି ୱେବ ସୁରକ୍ଷାରେ ଥିବା ଦୁର୍ବଳତା^[୪]

OWASP ଫାଉଣ୍ଡେସନ୍ ଅନୁସାରେ ସୁରକ୍ଷାରେ ଥିବା ବିପଦପୂର୍ଣ୍ଣ ଦିଗଗୁଡ଼ିକ ହେଲା

• Broken access control
• Cryptographic Failures
• Injection
• Insecure Design
• Security Misconfiguration
• Vulnerable and Outdated Components
• Identification and Authentification Failures
• Software and Data Integrity Failures
• Security Logging and Monitoring Failures*
• Server-Side Request Forgery (SSRF)*

ସୁରକ୍ଷା ଯାଞ୍ଚ ପାଇଁ ବ୍ୟବହୃତ ସଫ୍ଟୱେର୍

• Static Application Security Testing (SAST)
• Dynamic Application Security Testing DAST
• Interactive Application Security Testing (IAST)
• Runtime application self-protection
• Dependency scanners
• Abstraction

ସୁରକ୍ଷାର ମାନକ ଓ ନିୟମାବଳୀ

• CERT Secure Coding

• ISO/IEC 27034-1:2011 Information technology — Security techniques — Application security -- Part 1: Overview and concepts
• ISO/IEC TR 24772:2013 Information technology — Programming languages — Guidance to avoiding vulnerabilities in programming languages through language selection and use
• NIST Special Publication 800-53
• OWASP ASVS: Web Application Security Verification Standard

ଆଧାର

1. "Web Application Security | What do You Need to Know? | Imperva". Learning Center (in ଆମେରିକୀୟ ଇଂରାଜୀ). Retrieved 2022-01-15.
2. "What Is Web Application Security?". www.f5.com (in ଆମେରିକୀୟ ଇଂରାଜୀ). Retrieved 2022-01-15.
3. "What Is Web Application Security and How Does It Work? | Synopsys". www.synopsys.com (in ଇଂରାଜୀ). Retrieved 2022-01-15.
4. "OWASP Top Ten Web Application Security Risks | OWASP". owasp.org (in ଇଂରାଜୀ). Retrieved 2022-01-19.