Principales consejos para aplicaciones web seguras [cerrado]

StackOverflow https://stackoverflow.com/questions/47323

  •  09-06-2019
  •  | 
  •  

Pregunta

Estoy buscando pasos sencillos que sean simples y efectivos para hacer que una aplicación web sea más segura.

¿Cuáles son sus principales consejos para aplicaciones web seguras y qué tipo de ataque detendrán?

¿Fue útil?

Solución

Microsoft Technet tiene un excelente artículo:

Diez consejos para diseñar, crear e implementar aplicaciones web más seguras

Estos son los temas de los consejos respondidos en ese artículo:

  1. Nunca confíes directamente en la entrada del usuario
  2. Los servicios no deben tener acceso al sistema ni al administrador
  3. Siga las mejores prácticas de SQL Server
  4. Proteger los activos
  5. Incluya funciones de auditoría, registro e informes
  6. Analizar el código fuente
  7. Implemente componentes utilizando defensa en profundidad
  8. Desactive los mensajes de error detallados para los usuarios finales
  9. Saber el 10 leyes de la administración de seguridad
  10. Tener un plan de respuesta a incidentes de seguridad

Otros consejos

No confíe en la entrada del usuario.

La validación de los tipos de datos y el formato esperados es esencial para evitar la inyección SQL y los ataques de secuencias de comandos entre sitios (XSS).

  1. Escapar del contenido proporcionado por el usuario para evitar XSS ataques.
  2. Usando SQL parametrizado o procedimientos almacenados para evitar Inyecciones SQL ataques.
  3. Ejecutar el servidor web como una cuenta sin privilegios para minimizar los ataques al sistema operativo.
  4. Configurar los directorios del servidor web en una cuenta sin privilegios, nuevamente, para minimizar los ataques al sistema operativo.
  5. Configurar cuentas sin privilegios en el servidor SQL y usarlas para que la aplicación minimice los ataques a la base de datos.

Para obtener información más detallada, siempre existe la Guía OWASP para crear aplicaciones y servicios web seguros

Algunos de mis favoritos:

  1. Entrada de filtro, salida de escape para ayudar a protegerse contra ataques de inyección XSS o SQL
  2. Utilice declaraciones preparadas para consultas de bases de datos (ataques de inyección SQL)
  3. Deshabilite las cuentas de usuario no utilizadas en su servidor para evitar ataques de contraseña de fuerza bruta
  4. Eliminar información de la versión de Apache del encabezado HTTP (ServerSignature=Off, ServerTokens=ProductOnly)
  5. Ejecute su servidor web en una cárcel chroot para limitar el daño si se ve comprometido

OWASP es tu amigo.Su Lista de los diez mejores El catálogo de vulnerabilidades de seguridad de aplicaciones web incluye una descripción de cada problema y cómo defenderse de él.El sitio es un buen recurso para aprender más sobre la seguridad de las aplicaciones web y también contiene una gran cantidad de herramientas y técnicas de prueba.

Establezca el indicador seguro en las cookies para aplicaciones SSL.De lo contrario, siempre habrá un ataque de secuestro que es mucho más fácil de realizar que romper la criptografía.Ésta es la esencia de CVE-2002-1152.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top