I migliori suggerimenti per applicazioni Web sicure [chiuso]
-
09-06-2019 - |
Domanda
Sto cercando passaggi semplici ed efficaci per rendere un'applicazione Web più sicura.
Quali sono i tuoi migliori consigli per applicazioni web sicure e che tipo di attacco fermeranno?
Soluzione
Microsoft Technet ha un articolo eccellente:
Dieci suggerimenti per progettare, creare e distribuire applicazioni Web più sicure
Ecco gli argomenti per i suggerimenti a cui è stata data risposta in quell'articolo:
- Non fidarti mai direttamente dell'input dell'utente
- I servizi non devono avere accesso né al sistema né all'amministratore
- Segui le best practice per SQL Server
- Proteggi i beni
- Include funzionalità di controllo, registrazione e reporting
- Analizzare il codice sorgente
- Distribuisci componenti utilizzando la difesa in profondità
- Disattiva i messaggi di errore approfonditi per gli utenti finali
- Sapere il 10 Leggi sull'amministrazione della sicurezza
- Avere un piano di risposta agli incidenti di sicurezza
Altri suggerimenti
Non fidarti dell'input dell'utente.
La convalida dei tipi di dati e della formattazione previsti è essenziale per evitare attacchi SQL injection e Cross-Site Scripting (XSS).
- Esci dal contenuto fornito dall'utente da evitare XSS attacchi.
- Utilizzando SQL paremetrizzato o procedure memorizzate da evitare Iniezioni SQL attacchi.
- Esecuzione del server web come account non privilegiato per ridurre al minimo gli attacchi al sistema operativo.
- Impostazione delle directory del server web su un account non privilegiato, ancora una volta, per ridurre al minimo gli attacchi al sistema operativo.
- Configurazione di account non privilegiati sul server SQL e utilizzo degli stessi per l'applicazione per ridurre al minimo gli attacchi al DB.
Per informazioni più approfondite c'è sempre il Guida OWASP alla creazione di applicazioni Web e servizi Web sicuri
Alcuni dei miei preferiti:
- Ingresso filtro, uscita Escape per proteggere dagli attacchi XSS o SQL injection
- Utilizzare istruzioni preparate per le query sul database (attacchi SQL injection)
- Disabilita gli account utente inutilizzati sul tuo server per prevenire attacchi di forza bruta alle password
- Rimuovi le informazioni sulla versione di Apache dall'intestazione HTTP (ServerSignature=Off, ServerTokens=ProductOnly)
- Esegui il tuo server web in una prigione chroot per limitare i danni se compromesso
OWASP È tuo amico.Loro Elenco dei primi dieci delle vulnerabilità della sicurezza delle applicazioni web include una descrizione di ciascun problema e come difendersi da esso.Il sito è una buona risorsa per saperne di più sulla sicurezza delle applicazioni web ed è anche ricco di strumenti e tecniche di test.
Imposta il flag sicuro sui cookie per le applicazioni SSL.Altrimenti c'è sempre un attacco di highjacking tanto più facile da condurre che rompere la criptovaluta.Questa è l'essenza di CVE-2002-1152.