1. дома
  2. Вопрос и ответ
  3. Советы для защищенных веб-приложений

Советы для защищенных веб-приложений

2008-09-06 3 views
11

Я ищу простые шаги, которые являются простыми и эффективными в обеспечении безопасности веб-приложения.Советы для защищенных веб-приложений

Каковы ваши главные советы для защищенных веб-приложений и какие атаки они остановятся?

источник

2008-09-06 Oded

ответ

10

Microsoft Technet имеет собственную превосходную статьи:

Ten Tips for Designing, Building, and Deploying More Secure Web Applications

Здесь находятся темы для кончиков ответов в этой статье:

  1. Никогда не доверяйте пользователю ввод данных
  2. служба должна Ни система, ни доступ администратора
  3. Выполните SQL Server Best Practices
  4. защиты активов
  5. Включайте аудит, ведение журнала и функцию отчетов
  6. анализ исходного кода
  7. Развертывание компонентов с помощью Защиты в Глубина
  8. Выключить Углубленные сообщения об ошибках для конечных пользователей
  9. Знать 10 Laws of Security Administration
  10. Имейте план реагирования на аварийные ситуации

источник

2008-09-06 08:23:56 Espo

+0

Я особенно люблю наконечник нет. 10! По общему признанию, никогда об этом не задумывались. – 2010-10-15 18:16:26

4
  1. Исключить предоставленный пользователем контент, чтобы избежать ошибок XSS.
  2. Использование paremeterised SQL или хранимых процедур, чтобы избежать атаки SQL Injections.
  3. Запуск веб-сервера как непривилегированного аккаунта для минимизации атак на ОС.
  4. Настройка каталогов веб-серверов на непривилегированную учетную запись, опять же, чтобы свести к минимуму атаки на ОС.
  5. Настройка непривилегированных учетных записей на сервере SQL и использование их для приложения для минимизации атак на БД.

Более детальной информации, всегда есть OWASP Guide to Building Secure Web Applications and Web Services

источник

2008-09-06 08:23:10 Oded

6

Не доверяйте вводам пользователей.

Валидация ожидаемых типов данных и форматирование имеет важное значение для предотвращения инъекций SQL и атак типа Cross-Site Scripting (XSS).

источник

2008-09-06 08:31:17

0

Установите безопасный флаг для файлов cookie для приложений SSL. В противном случае всегда есть атака с высоким уровнем атаки, которая намного проще, чем пробить крипто. В этом суть CVE-2002-1152.

источник

2008-09-06 13:49:56 Purfideas

1

Некоторые из моих фаворитов:

  1. Filter Input, Escape Output, чтобы помочь защититься от XSS или SQL-инъекции атак
  2. Использование подготовленных операторов для запросов к базе данных (атаки SQL-инъекции)
  3. Отключение неиспользуемых учетных записей пользователей на сервере, предотвращать атаки с использованием переборного пароля
  4. Удалить информацию об Apache из HTTP-заголовка (ServerSignature = Off, ServerTokens = ProductOnly)
  5. Запустите свой веб-сайт сервер в тюрьме chroot для ограничения ущерба, если скомпрометирован

источник

2008-09-06 15:42:42

+0

+1 для 'фильтра ввода' в отличие от экранирования. Никогда не пытайтесь массировать недопустимый ввод пользователя. – n0rm1e 2011-11-10 04:51:13

1

OWASP - твой друг. Их Top Ten List уязвимостей безопасности веб-приложений включает описание каждой проблемы и способы ее защиты. Сайт является хорошим ресурсом для получения дополнительной информации о безопасности веб-приложений, а также богатства инструментов и методов тестирования.

источник

2008-09-16 02:14:06 Markc

Смежные вопросы

 Смежные вопросы