Защитное программирование от вредоносных атак [закрыто]
-
07-07-2019 - |
Вопрос
Компания, в которой я работаю, занимается переработкой собственного продукта для внешнего использования.
Первоначально продукт будет разработан на C# с использованием WPF, а затем перенесен на Silverlight.
Одним из приоритетных направлений является создание кода для защиты от вредоносных атак, например.SQL-инъекция и т. д.
Вопросы:
- Может ли кто-нибудь порекомендовать URL-адреса, указывающие на статьи о «лучших практиках» безопасности.
- Может ли кто-нибудь порекомендовать инструмент для анализа кода на предмет выявления слабых мест.Если возможно, мы хотели бы включить этот инструмент в наши сценарии непрерывной интеграции.
Решение
Попробуйте следующую статью на MSDN: Безопасность (как это сделать на C#).
Другие советы
Лучший ресурс, который я нашел, находится здесь:
http://www.owasp.org/index.php/Main_Page
На этом сайте я бы начал здесь:
http://www.owasp.org/index.php/Top_10_2007
Топ-10 относится к уязвимостям веб-сайтов, но эти концепции применимы ко всем типам приложений.По моему личному мнению, в качестве отправной точки для изучения безопасного кодирования лучше и не найти лучшего варианта.
Этот сайт предоставляет лучшие практики, инструменты и действительно делает все понятным, независимо от вашего уровня навыков.
*Добавлен *
Еще один хороший ресурс — документация MSDN, поскольку ваш вопрос помечен как C#.
Я предполагаю, что начало безопасной разработки будет означать три шага:
Определите и поймите общую картину:что может пойти не так
Это означает понимание технических аспектов уязвимости и того, как она помогает сделать что-то не так.
Обычно я рассматриваю 10 основных уязвимостей безопасности веб-приложений по версии OWASP (google:owasp top 10 2007).
Если вы этого не понимаете, пожалуйста, обратитесь за советом.Понимание такого документа не дает вам прямых указаний о том, как создавать безопасный код, но является хорошим показателем вашего уровня понимания безопасной разработки.
Найдите хорошие общие практики, которые ведут к безопасной разработке.
Хотя многие документы рассказывают вам, как что-то может пойти не так, лишь немногие ресурсы на самом деле рассказывают вам, как их избежать в целом.
В настоящее время я бы в основном рекомендовал эти ресурсы:
- «Принципы безопасного развития» Дэвида Рука (google:Дэвид Рук, принципы безопасной разработки)
- Страницы раздела защиты 10 лучших уязвимостей OWASP (каждая запись кликабельна в онлайн-версии 10 лучших)
Найдите ресурсы, адаптированные для вашей технологии
Получите доступ к ресурсам, которые расскажут вам, «как это сделать» на языке, на котором вы говорите.Обычно С#.Портал MSDN предоставляет разработчикам множество контрольных списков безопасности (http://msdn.microsoft.com/en-us/library/ms998408.aspx).
Наконец, займитесь этим:подключайтесь к регулярной информации о безопасности приложений, находите блоги, читайте новости (создавайте оповещения Google с названиями или словами некоторых уязвимостей, например «безопасность приложений» или «безопасная разработка») и смотрите, что происходит.
Надеюсь, поможет.
сб
ПС:извините за ссылки «Google», я новый пользователь и могу публиковать только 1 URL в своих ответах :(