Какие типичные потенциальные риски безопасности разработчики должны учитывать?

Question

Это широкий вопрос в поисках достойного широкого ответа, но мне действительно любопытно, какие ключевые проблемы должны учитывать профессиональные разработчики в плане безопасности.доказательство?Как вы обеспечиваете безопасность баз данных ваших компаний?

Я настоящий нуб с проблемами безопасности, но мне очень хотелось бы услышать от людей типичные шаблоны проектирования безопасности (если есть такая вещь),простота использования методов шифрования и т. д.

Спасибо!

Answer 1

Несмотря на то, что было опубликовано много хороших предложений, я бы предложил использовать более систематический и методологический подход.Вместо случайной защиты от XYZ-атак имеет смысл сначала выполнить моделирование угроз на веб-сайте, который вы хотите «защитить от хакерских атак».Например, рассмотрим веб-сайт интрасети, который не допускает никакого пользовательского ввода.Только для чтения, но конфиденциальная информация доступна.Стоит ли беспокоиться о внедрении SQL, XSS и т. Д.?Я так не думаю (так как нет пользовательского ввода).Привязка DNS больше касается атаки, о которой стоит беспокоиться.Есть ли на сайте / проверять наличие HOST заголовка?В противном случае сайт может быть уязвим, и конфиденциальные данные могут быть переданы неавторизованным пользователям.

Выполняя моделирование угроз, можно получить четкое представление об основных угрозах для приложения, а на основе оценки рисков - построить стратегию снижения риска.

Answer 2

Это ни в коем случае не исчерпывающий список всего, что вам нужно сделать, но он должен заставить вас задуматься над некоторыми ответами на ваши вопросы:

Как вы делаете свой сайт хакеромдоказательство?

• Везде, где важна безопасность, обязательно используйте надежное шифрование SSL.
• Никогда не используйте динамический SQL.Всегда используйте параметризованные запросы или хранимые процедуры.Это защитит от атак SQL-инъекций.
• Никогда не храните пароли пользователей в виде простого текста.Всегда используйте соленый хеш.
• Требуйте от пользователей (особенно администраторов) использования надежных паролей.
• Обязательно проверьте параметры запроса на наличие опасного содержимого.Это поможет защитить от атак с использованием межсайтовых сценариев.

Как обеспечить безопасность баз данных ваших компаний?

• Не предоставлять базы данных напрямую Интернету.
• Требовать надежных паролей.
• Убедитесь, что перед приложениями, подключающимися к базе данных, соблюдаются рекомендации, чтобы они не отображали данные через SQLИнъекционные атаки.

Answer 3

Я могу указать вам некоторые типичные атаки, которые могут быть применены к веб-сайту.Вы можете найти множество ресурсов о каждом из них в Интернете.

• XSS (межсайтовый скриптинг)
• CSRF / XSRF (подделка межсайтовых запросов)
• впрыск Sql

Это наиболее распространенные, я рекомендую вам начать с изучения этих.

Answer 4

Веб-приложение

Никогда не доверяйте пользовательскому вводу! Предположим, что люди пытаются передать вредоносное содержимое в ваше приложение.

Подобные вещи приводят к проблемам, о которых говорит @Matteo Mosca.

База данных

На стороне базы данных убедитесь, что вы шифруете любую информацию, которую вы не хотите, чтобы люди легко видели, взламывают ли они вашу БД (пароли и т.д.)

Здесь - хорошая статья о хранении паролей в вашей базе данных.

Ссылки для получения дополнительной информации:

• XSS
• CSRF
• SQL-инъекция

Answer 5

Брюс Шнайер Тайны и ложь - действительно хорошая книга для чтения в качестве общего философского обзора темы.