Les meilleurs conseils pour la sécurité des applications web [fermé]

Question

Je suis à la recherche pour les étapes faciles, simples et efficaces dans la prise d'une application web plus sécurisé.

Quels sont vos meilleurs conseils pour la sécurité des applications web, et ce genre d'attaque vont-ils s'arrêter?

Answer 1

Microsoft Technet est en excellent article:

Dix Conseils pour la Conception, la Construction et le Déploiement des Applications Web Sécurisées.

Voici les sujets pour les conseils répondu dans l'article:

1. Ne Jamais Faire Confiance Directement La Saisie De L'Utilisateur
2. Les Services Devraient être offerts Ni Système, ni d'un Accès Administrateur
3. Suivez SQL Server Best Practices
4. Protéger les Actifs
5. L'Audit, de l'exploitation forestière et de production de Rapports
6. Analyser le Code Source
7. Déployer des Composants à l'Aide de la Défense en Profondeur
8. Éteignez En Profondeur des Messages d'Erreur pour les Utilisateurs finaux
9. Connaître les 10 des Lois de l'Administration de la Sécurité
10. Avoir un Plan de Réponse aux Incidents de Sécurité

Answer 2

Ne pas faire confiance à la saisie de l'utilisateur.

La Validation de prévu types de données et mise en forme est essentielle pour avaoiding injection SQL et le Cross-Site Scripting (XSS) les attaques.

Answer 3

1. Échapper contenu fourni par l'utilisateur à éviter XSS des attaques.
2. À l'aide de paremeterised SQL ou des procédures stockées pour éviter Des Injections SQL des attaques.
3. Exécutant le serveur web comme un compte sans privilège pour minimiser les attaques sur le système d'exploitation.
4. Configuration du serveur de répertoires à un compte sans privilège, de nouveau, afin de minimiser les attaques sur le système d'exploitation.
5. La configuration sans privilège de comptes sur le serveur SQL et de les utiliser pour l'application de minimiser les attaques sur la DB.

Pour plus d'informations en profondeur, il est toujours la OWASP Guide de la Construction de la sécurité des Applications Web et de Services Web

Answer 4

Certains de mes favoris:

1. Filtre D'Entrée, Échapper À La Sortie pour vous prémunir contre les XSS ou à des attaques par injection SQL
2. Utiliser les requêtes préparées pour les requêtes de base de données (attaques par injection SQL)
3. Désactiver inutilisés des comptes d'utilisateurs sur votre serveur afin d'éviter que la force brute attaques de mot de passe
4. Supprimer la version d'Apache info de l'en-tête HTTP (ServerSignature=Off, ServerTokens=ProductOnly)
5. Exécuter votre serveur web dans une prison chroot pour limiter les dégâts si compromise

Answer 5

OWASP est votre ami.Leur Liste Des Dix Meilleurs de la sécurité des applications web vulnérabilités comprend une description de chaque problème et comment se défendre contre elle.Le site est une bonne ressource pour apprendre plus au sujet de la sécurité des applications web et une multitude d'outils et de et de tests techniques ainsi.

Answer 6

Définir l'indicateur de sécurité sur les cookies pour SSL applications.Sinon, il est toujours une détournements attaque beaucoup plus facile à mener que la rupture de la crypto.C'est l'essence même de CVE-2002-1152.