A programação defensiva contra ataques maliciosos [fechado]

StackOverflow https://stackoverflow.com/questions/1428590

Pergunta

A empresa que eu trabalho para está reconstruindo um produto in-house para uso externo.

O produto será inicialmente desenvolvido em C # usando WPF, então portado para Silverlight.

Um dos pontos de foco é a codificação contra ataques maliciosos por exemplo SQL injeção etc.

Perguntas:

  1. Alguém pode recomendar URLs que apontam para artigos sobre segurança 'melhores práticas'.
  2. Alguém pode recomendar uma ferramenta de análise para analisar o código para identificar os pontos fracos. Gostaríamos, se possível, como para incluir a ferramenta em nossos scripts de integração contínua.
Foi útil?

Solução

Tente o seguinte artigo no MSDN: Segurança (Como eu faço em C #) .

Outras dicas

O melhor recurso que eu encontrei é aqui:

http://www.owasp.org/index.php/Main_Page

Dentro desse site, gostaria de começar por aqui:

http://www.owasp.org/index.php/Top_10_2007

O top 10 é para vulnerabilidades web site, mas os conceitos se aplicam a todos os tipos de aplicativos. Na minha opinião pessoal, você realmente não pode fazer melhor para um ponto de partida quando se trata de aprender sobre seguro de codificação.

Este site fornece melhores práticas, ferramentas, e realmente faz tudo compreensível, independentemente do seu nível de habilidade.

* Adicionado *

Outro bom recurso é a documentação MSDN, uma vez que a sua pergunta é marcado como C #.

http://msdn.microsoft.com/en-us/library /ms998408.aspx

Eu acho que começando com desenvolvimento seguro significaria três etapas:

Identificar e entender o quadro: o que pode dar errado

Este significa entender os aspectos técnicos de uma vulnerabilidade e como ele ajuda a fazer as coisas dão errado.

Normalmente, eu iria com Top 10 vulnerabilidades de segurança de aplicações web da OWASP (google: top OWASP 10, 2007).

Se você não entender isso, então, por favor, peça orientação. Compreender esse documento não directamente lhe diz como compilar o código seguro, mas é um bom indicador do seu nível de compreensão sobre o desenvolvimento seguro.

Encontrar boas práticas gerais que levam ao desenvolvimento seguro

Enquanto muitos documentos dizer-lhe como as coisas podem dar errado, alguns recursos realmente dizer-lhe como evitá-los de uma forma geral.

Atualmente, eu principalmente recomendam estes recursos:

  • "princípios desenvolvimento seguro" de David Rook (Google: david princípios do desenvolvimento seguro Torre)
  • páginas da seção de proteção Top 10 vulnerabilidades do OWASP (cada entrada é clicável na versão online do Top 10)

Encontre recursos sob medida para a sua tecnologia

Tenha acesso a recursos que lhe dizem "como fazer isso" em um idioma que você fala. Tipicamente, C #. O portal MSDN fornece aos desenvolvedores muitas listas de verificação de segurança ( http://msdn.microsoft. com / en-us / library / ms998408.aspx ).

Finalmente, chegar a ele: conectar à entrada regular sobre a segurança do aplicativo, encontrar blogs, notícias leitura (Build Alertas do Google com algumas vulnerabilidades nomes ou palavras como 'segurança de aplicativos' ou 'desenvolvimento seguro') e ver o que acontece <. / p>

Hope isso ajuda.

sb

PS: Desculpem as ligações 'Google', eu sou um usuário novo e só pode postar uma url nas minhas respostas: (

Licenciado em: CC-BY-SA com atribuição
Não afiliado a StackOverflow
scroll top