Лучшие советы для защищенных веб-приложений

Я ищу простые шаги, которые просты и эффективны в обеспечении безопасности веб-приложения.

Каковы ваши лучшие советы для защищенных веб-приложений и какие атаки они остановят?

Ответы

Ответ 1

Microsoft Technet имеет отличную статью:

Десять советов по разработке, созданию и развертыванию более безопасных веб-приложений

Вот темы для советов, которые были приведены в этой статье:

  • Никогда не доверять пользовательскому вводу
  • У служб не должно быть ни системы, ни доступа администратора.
  • Следуйте лучшим рекомендациям SQL Server
  • Защита активов
  • Включить функции аудита, ведения журнала и отчетности
  • Анализ исходного кода
  • Развертывание компонентов с использованием защиты в глубину
  • Отключить встроенные сообщения об ошибках для конечных пользователей
  • Знайте 10 Законодательство о безопасности
  • У вас есть план реагирования на инциденты безопасности.

Ответ 2

Не доверяйте пользовательскому вводу.

Валидация ожидаемых типов данных и форматирования имеет важное значение для предотвращения атак SQL-инъекций и межсайтовых сценариев (XSS).

Ответ 3

  • Предотвратить доступ пользователей, чтобы избежать XSS атак.
  • Использование paremeterised SQL или хранимые процедуры, чтобы избежать SQL Injections.
  • Запуск веб-сервера как непривилегированного аккаунта для минимизации атак на ОС.
  • Настройка каталогов веб-серверов на непривилегированную учетную запись, опять же, чтобы свести к минимуму атаки на ОС.
  • Настройка непривилегированных учетных записей на сервере SQL и использование их для приложения для минимизации атак на БД.

Для получения более подробной информации всегда существует Руководство OWASP по созданию защищенных веб-приложений и веб-сервисов

Ответ 4

Некоторые из моих фаворитов:

  • Фильтровать вход, Выход Escape, чтобы защитить от атак XSS или SQL-инъекций.
  • Используйте подготовленные инструкции для запросов к базе данных (атаки SQL-инъекций)
  • Отключить неиспользуемые учетные записи пользователей на вашем сервере для предотвращения атак паролей с грубой силой.
  • Удалить информацию о версии Apache из HTTP-заголовка (ServerSignature = Off, ServerTokens = ProductOnly)
  • Запустите веб-сервер в chroot-тюрьме, чтобы ограничить ущерб, если он скомпрометирован

Ответ 5

OWASP является вашим другом. Их Десять Список уязвимостей безопасности веб-приложений включает описание каждой проблемы и способы защиты от нее. Сайт является хорошим ресурсом для получения дополнительной информации о безопасности веб-приложений, а также богатства инструментов и методов тестирования.

Ответ 6

Установите безопасный флаг для файлов cookie для приложений SSL. В противном случае всегда есть атака с высоким уровнем атаки, которую намного легче провести, чем нарушение криптографии. В этом суть CVE-2002-1152.