Я бы рекомендовал проверить OWASP Top 10: http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf
OWASP Top Ten предоставляет мощный информационный документ для безопасности веб-приложений. Первая десятка OWASP представляет широкий консенсус относительно наиболее важных недостатков безопасности веб-приложений. Участники проекта включают в себя множество экспертов по безопасности со всего мира, которые поделились своим опытом для составления этого списка.
Чтобы проверить конфигурацию SSL, вы можете попробовать https://www.ssllabs.com/ssldb/index.html.
Если вам интересно узнать о разнообразных атаках, ознакомьтесь с постом Джеремии Гроссмана под названием Десять лучших методов веб-взлома 2010 и прокрутите вниз, пока не увидите «Полный список».
Если вы хотите запустить несколько инструментов сканирования уязвимостей веб-приложений, чтобы поймать низко висящий фрукт, вы можете попробовать:
Если вы действительно беспокоитесь о безопасности, то принятие плана безопасной разработки и работа с кем-то, кто обучен безопасности приложений, несомненно, повысит вашу уверенность, что все делается правильно.
Что касается разработки, вам могут понравиться идеи, представленные в упрощенном SDL от Microsoft:
«Жизненный цикл разработки безопасности (SDL) - это процесс обеспечения безопасности, ориентированный на разработку программного обеспечения».
"Процесс, описанный в этом документе, устанавливает минимальный порог для соответствия SDL. При этом организации не едины - команды разработчиков должны применять SDL таким образом, чтобы это подходило человеческим талантам и доступным ресурсам, но не" t поставить под угрозу цели безопасности организации. "
Также важно отметить, что инструменты автоматического сканирования уязвимостей не могут идентифицировать большинство логических уязвимостей, поэтому не полагайтесь исключительно на автоматизированные инструменты. Например (взято из OWASP):
"Установка количества продукта на сайте электронной торговли в виде отрицательного числа может привести к зачислению средств злоумышленнику. Противодействие этой проблеме заключается в более строгой проверке данных, поскольку приложение разрешает использовать отрицательные числа введено в поле количества в корзине. "
Человеческий интеллект является ключом к выявлению логических проблем.
Безопасность - это также и обслуживание. Важно назначить кого-либо или команду ответственным за постоянную защиту.
Примечание : шифрование паролей не означает безошибочную безопасность. Словарь / списки паролей / атаки методом "грубой силы" работают постоянно, чтобы выявить слабые пароли. Очень распространенная атака - использовать SQL-инъекцию для выгрузки пользовательской таблицы (с хэшами паролей), а затем использовать взломщик паролей для обнаружения законных пар пользователь / пароль.