Programmation défensive contre les attaques malveillantes [fermé]
https://stackoverflow.com/questions/1428590
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
La société pour laquelle je travaille redéfinit un produit interne à usage externe.
Le produit sera initialement développé en C # à l'aide de WPF, puis transféré vers Silverlight.
L’un des points essentiels est le codage contre les attaques malveillantes, par exemple. Injection SQL, etc.
Questions:
- Quelqu'un peut-il recommander des URL pointant vers des articles sur les "meilleures pratiques" en matière de sécurité?
- Quelqu'un peut-il recommander un outil d'analyse permettant d'analyser le code afin d'identifier les faiblesses? Si possible, nous aimerions inclure l'outil dans nos scripts d'intégration continue.
La solution
Essayez l'article suivant sur MSDN: Sécurité (comment faire en C #) .
Autres conseils
La meilleure ressource que j'ai trouvée est ici:
http://www.owasp.org/index.php/Main_Page
Sur ce site, je commencerais ici:
http://www.owasp.org/index.php/Top_10_2007
Le top 10 concerne les vulnérabilités des sites Web, mais les concepts s'appliquent à tous les types d'applications. Selon mon opinion personnelle, vous ne pouvez vraiment pas faire mieux comme point de départ pour apprendre à utiliser le codage sécurisé.
Ce site fournit les meilleures pratiques, les outils et rend vraiment tout compréhensible, quel que soit votre niveau de compétence.
* Ajouté *
Une autre bonne ressource est la documentation MSDN, car votre question porte la mention C #.
Je suppose que commencer par le développement sécurisé impliquerait trois étapes:
Identifiez et comprenez la situation dans son ensemble: ce qui peut mal tourner
Cela signifie comprendre les aspects techniques d’une vulnérabilité et la façon dont elle contribue à faire en sorte que les choses tournent mal.
Généralement, je choisirais les 10 principales vulnérabilités de sécurité des applications Web de l'OWASP (Google: owasp top 10 2007).
Si vous ne le comprenez pas, demandez conseil. Comprendre un tel document ne vous dit pas directement comment construire du code sécurisé, mais c’est un bon indicateur de votre niveau de compréhension du développement sécurisé.
Recherchez les bonnes pratiques générales menant à un développement sécurisé
Alors que de nombreux documents vous expliquent comment les choses peuvent mal tourner, peu de ressources vous expliquent comment les éviter de manière générale.
Actuellement, je recommanderais principalement ces ressources:
- Les principes de développement sécurisé de David Rook (google: principes de développement sécurisé de david rook)
- Pages de la section 10 des meilleures vulnérabilités de OWASP (chaque entrée est cliquable sur la version en ligne du Top 10)
Recherchez des ressources adaptées à votre technologie
Accédez à des ressources qui vous indiquent comment procéder ainsi. dans une langue que vous parlez. Typiquement, C #. Le portail MSDN fournit aux développeurs de nombreuses listes de contrôle de sécurité ( http://msdn.microsoft. com / fr-fr / library / ms998408.aspx ).
Enfin, lancez-vous: connectez-vous aux informations habituelles sur la sécurité des applications, recherchez des blogs, lisez des actualités (créez des alertes Google avec des vulnérabilités, des noms ou des mots tels que "sécurité des applications" ou "développement sécurisé") et voyez ce qui se passe. / p>
J'espère que ça aide.
sb
PS: désolé pour les liens "google", je suis un nouvel utilisateur et je ne peux poster que 1 URL dans mes réponses: (
