I migliori suggerimenti per applicazioni Web sicure [chiuso]

StackOverflow https://stackoverflow.com/questions/47323

  •  09-06-2019
  •  | 
  •  

Domanda

Sto cercando passaggi semplici ed efficaci per rendere un'applicazione Web più sicura.

Quali sono i tuoi migliori consigli per applicazioni web sicure e che tipo di attacco fermeranno?

È stato utile?

Soluzione

Microsoft Technet ha un articolo eccellente:

Dieci suggerimenti per progettare, creare e distribuire applicazioni Web più sicure

Ecco gli argomenti per i suggerimenti a cui è stata data risposta in quell'articolo:

  1. Non fidarti mai direttamente dell'input dell'utente
  2. I servizi non devono avere accesso né al sistema né all'amministratore
  3. Segui le best practice per SQL Server
  4. Proteggi i beni
  5. Include funzionalità di controllo, registrazione e reporting
  6. Analizzare il codice sorgente
  7. Distribuisci componenti utilizzando la difesa in profondità
  8. Disattiva i messaggi di errore approfonditi per gli utenti finali
  9. Sapere il 10 Leggi sull'amministrazione della sicurezza
  10. Avere un piano di risposta agli incidenti di sicurezza

Altri suggerimenti

Non fidarti dell'input dell'utente.

La convalida dei tipi di dati e della formattazione previsti è essenziale per evitare attacchi SQL injection e Cross-Site Scripting (XSS).

  1. Esci dal contenuto fornito dall'utente da evitare XSS attacchi.
  2. Utilizzando SQL paremetrizzato o procedure memorizzate da evitare Iniezioni SQL attacchi.
  3. Esecuzione del server web come account non privilegiato per ridurre al minimo gli attacchi al sistema operativo.
  4. Impostazione delle directory del server web su un account non privilegiato, ancora una volta, per ridurre al minimo gli attacchi al sistema operativo.
  5. Configurazione di account non privilegiati sul server SQL e utilizzo degli stessi per l'applicazione per ridurre al minimo gli attacchi al DB.

Per informazioni più approfondite c'è sempre il Guida OWASP alla creazione di applicazioni Web e servizi Web sicuri

Alcuni dei miei preferiti:

  1. Ingresso filtro, uscita Escape per proteggere dagli attacchi XSS o SQL injection
  2. Utilizzare istruzioni preparate per le query sul database (attacchi SQL injection)
  3. Disabilita gli account utente inutilizzati sul tuo server per prevenire attacchi di forza bruta alle password
  4. Rimuovi le informazioni sulla versione di Apache dall'intestazione HTTP (ServerSignature=Off, ServerTokens=ProductOnly)
  5. Esegui il tuo server web in una prigione chroot per limitare i danni se compromesso

OWASP È tuo amico.Loro Elenco dei primi dieci delle vulnerabilità della sicurezza delle applicazioni web include una descrizione di ciascun problema e come difendersi da esso.Il sito è una buona risorsa per saperne di più sulla sicurezza delle applicazioni web ed è anche ricco di strumenti e tecniche di test.

Imposta il flag sicuro sui cookie per le applicazioni SSL.Altrimenti c'è sempre un attacco di highjacking tanto più facile da condurre che rompere la criptovaluta.Questa è l'essenza di CVE-2002-1152.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top