ORS – bu oddiy, qulay va bepul dinamik hisobotlar yaratish uchun veb platforma, tizimdan BugHunter va kiberxavfsizlik sohasiga qiziquvchi barcha foydalanishi mumkin. Open World wide Application Security Project – bu IoT, tizim dasturiy ta’minoti va veb-ilovalar xavfsizligi sohalarida erkin mavjud bo’lgan maqolalar, metodologiyalar, hujjatlar, vositalar va texnologiyalarni ishlab chiqaradigan onlayn hamjamiyatdir. OWASP bepul va ochiq resurslarni taqdim etadi va aynan shu tashkilot dunyo bo’ylab mavjud bo’lgan ojizliklar va ularning statistikasini, kategoriyalarini va bazasini shakllantiradi. Oxirgi OWASP tomonidan ojizliklarning TOP10 talik kategoriyalari 2021-yilda e’lon qilingan va uni 1-rasmda ko’rishingiz mumkin.

Hisobotlash tizimidan foydalanishdan oldin ba’zi muhim qoidalarni ko’rib chiqamiz. Tizimdan foydalanib siz OWASP ning TOP 10 2021-yilgi baholash mezonidan foydalanasiz, ojizliklarga umumiy bahoni FIRST kompaniyasining “Common Vulnerability Scoring System Version 3.0” hisoblagichi yordamida amalga oshirasiz.

CVSS – bu umumiy zaifliklarni baholash tizimining 3.0 versiyasi kalkulyatoridir, FIRST kompaniyasi esa “xavfsiz internetni ta’minlash uchun dunyoning har bir mamlakatidan kiber hodisalarga javob berish va xavfsizlik guruhlari mutaxassislarini birlashtirish” ideasini targ’ib qiladi va dunyo bo’ylab regulyator sifatida tan olinadi. CVSS hisoblagichining so’nggi soni v4 bo’lib, u 2023-yilning oxirida e’lon qilindi. Ushbu hisoblagich kiberxavfsizlik mutaxassisi, bughunter, mustaqil izlanuvchi tomonidan aniqlangan u yoki bu obyektdagi ojizlikga xalqaro standartlar asosida baho berish va ojizlikni to’liq ko’rsatib berish uchun xizmat qiladi. Hisoblagich natijalari tushinishga oddiy va juda muhimdir. Yakuniy ballning qiymati bir qancha qismlarga bo’linadi.

CVSS ning turli sonlarida baholash mezoni va umumiy natija turlicha hisoblanadi. Quyida buni solishitirishingiz mumkin :

9.0 dan yuqori ballga ega bo’lgan ojizlik “Critical” deb topiladi va bu ojizlik obyektning xavfsizligiga jiddiy tahdid sifatida qaraladi, shu sabab zudlik bilan kechiktirilmaydigan choralar ko’rishni talab qiladi. Ojizlik izlovchi mutaxassislar kamchiliklarni aniqlashdan tashqari ushbu baholash mezonidan foydalanishni va aniqlangan ojizlikga qarshi tuzatish, yechimlarini taqdim qilishni bilishlari shartdir. Ko’plab xalqaro onlayn mustaqil faoliyat ko’rsatuvchi ojizliklar bilan ishlovchi tashkilotlar, o’zining CVSS bazasidagi hisobotlash tizimiga ega, afsuski bizda shu paytgacha bunday tizim ham va imkoniyat ham mavjud emas edi.

Siz CYBERORS – tizimidan foydalanib istalgan *.uz zonasidagi domenlarda joylashgan veb ilovlardagi ojizliklarni qonuniy tarzda xalqaro standartlarga mos formatda uning egasiga topshirishingiz mumkin bo’ladi. Bu sizga shu paytgacha e’tiborsiz qolayotgan ko’plab muammolaringizga oson yechim taqdim qiladi, chunki rasmiy murojaatlar va unga ilova qilingan “aniqlangan ojizlik” haqidagi hisobot javobsiz qolmaydi. Sayt va veb ilova egalari uchun ham juda qulay imkoniyatlar yaratilgan, masalan ojizlikni topgan mutaxassis uni bartaraf etish haqidagi aniq yechimlarni ham aynan o’sha hisobotning o’ziga kiritishi zarur, bu uchun maxsus formalar keltirilgan.

Barcha maydonlar to’ldirilgach hisobot tayyor “PDF” fayl ko’rinishida foydalanuvchi panelida paydo bo’ladi.

Tizimda ro’yxatdan o’tishda e’tiborli bo’ling, siz login/parol va o’zingiz haqingizda, sohadagi darajangiz va yutuqlaringiz haqida qisqacha ma’lumotlar yozishingiz zarur, bu hisobotni malakali mutaxassis yozgani va aniqlangan ojizlik e’tiborga loyiq ekanini ko’rsatadi.

Ma’lumotlarni to’ldirgach siz kiritgan emailga maxsus kod yuboriladi, ushbu kodni siz mobil qurilmangizda, agar Android bo’lsa : Google Play, iOS bo’lsa : AppStore dan Google Authenticator dasturini yuklab olishingiz zarur, ushbu dastur saytga login va paroldan tashqari uchinchi bir marta foydalaniladigan vaqtinchalik maxfiy kod orqali kirish imkonini beradi. Emailingizga kelgan kodni Google Authenticator dasturi ichidagi “Enter a setup key” buyrug’ini ochib kiritishingiz va unga nom berib saqlashingiz kerak bo’ladi.

Shundan so’ng siz ro’yxatdan o’tish vaqtida kiritgan email va parolingiz bilan birga, Google Authenticator dasturida vaqtinchalik beriladigan kod orqali kirishingiz mumkin bo’ladi.

Tizimning birinchi soni test ko’rinishida ishlamoqda, keyingi sonlarida uni o’z tashkilotingizda yoki lokal kompyuteringizda ham o’rnatib foydalanishingiz mumkin bo’ladi.

1. https://owasp.org/Top10/
2. https://www.first.org/cvss/calculator/4.0
3. https://cyberors.uz
4. https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=en
5. https://apps.apple.com/us/app/google-authenticator/id388497605