1. Zuhause
  2. Frage und Antwort
  3. Top-Tipps für sichere Web-Anwendungen

Top-Tipps für sichere Web-Anwendungen

2008-09-06 8 views
11

Ich suche nach einfachen Schritten, die einfach und effektiv sind, um eine Web-Anwendung sicherer zu machen.Top-Tipps für sichere Web-Anwendungen

Was sind Ihre wichtigsten Tipps für sichere Webanwendungen und welche Art von Angriffen werden sie stoppen?

Quelle

2008-09-06 Oded

Antwort

10

Microsoft Technet hat en ausgezeichneten Artikel:

Ten Tips for Designing, Building, and Deploying More Secure Web Applications

Hier sind die Themen für die Tipps in diesem Artikel beantwortet:

  1. Vertraue niemals direkt Benutzereingabe
  2. Dienstleistungen Sollte keines der beiden Systeme noch Administrator-Zugang
  3. Folgen SQL Server Best Practices haben
  4. die Assets
  5. Revision zählt Protect, Protokollierung und Reporting-Funktionen
  6. den Source Code
  7. Bereitstellen von Komponenten unter Verwendung Defense Analyse in Tiefe
  8. Turn Off In-Depth-Fehlermeldungen für Endanwender
  9. Kennen Sie die 10 Laws of Security Administration
  10. Haben Sie einen Reaktionsplan für Sicherheitsvorfälle

Quelle

2008-09-06 08:23:56 Espo

+0

Ich liebe besonders Tipp Nr. 10! Zugegeben, vorher nie darüber nachgedacht. –

4
  1. Escape Benutzer bereitgestellten Inhalt zu vermeiden, XSS Angriffe.
  2. Verwenden Sie paremeterised SQL oder gespeicherte Prozeduren zu vermeiden, SQL Injections Angriffe.
  3. Ausführen des Webservers als nicht privilegiertes Konto, um Angriffe auf das Betriebssystem zu minimieren.
  4. Setzen Sie die Webserver-Verzeichnisse wieder auf ein unprivilegiertes Konto, um Angriffe auf das Betriebssystem zu minimieren.
  5. Einrichten von nicht privilegierten Konten auf dem SQL-Server und deren Verwendung für die Anwendung, um Angriffe auf die Datenbank zu minimieren.

Weitere ausführliche Informationen, gibt es immer die OWASP Guide to Building Secure Web Applications and Web Services

Quelle

2008-09-06 08:23:10 Oded

6

Vertrauen Sie nicht Benutzereingaben.

Die Validierung der erwarteten Datentypen und Formatierungen ist für die Bereitstellung von SQL Injection- und Cross-Site Scripting (XSS) -Angriffen unerlässlich.

Quelle

2008-09-06 08:31:17

0

Setzen Sie das Sicherheitskennzeichen auf Cookies für SSL-Anwendungen. Sonst gibt es immer einen Highjacking-Angriff, der viel einfacher durchzuführen ist, als das Krypto zu brechen. Dies ist die Essenz von CVE-2002-1152.

Quelle

2008-09-06 13:49:56 Purfideas

1

Einige meiner Favoriten:

  1. Filter Input, Escape Output zu helfen Schutz gegen XSS oder SQL-Injection-Angriffe
  2. Verwenden vorbereitete Anweisungen für Datenbankabfragen (SQL-Injection-Angriffe)
  3. Deaktivieren nicht verwendeten Benutzerkonten auf dem Server verhindern Sie Brute-Force-Passwortangriffe
  4. Entfernen Sie die Apache-Versionsinformationen aus dem HTTP-Header (ServerSignature = Aus, ServerTokens = ProductOnly)
  5. Führen Sie Ihr Web aus Server in einem chroot Gefängnis, um den Schaden zu begrenzen, wenn kompromittiert

Quelle

2008-09-06 15:42:42

+0

+1 zu 'Filtereingang' im Gegensatz zu Entweichen. Versuchen Sie niemals, die ungültige Eingabe des Benutzers zu massieren. – n0rm1e

1

OWASP ist dein Freund. Ihre Top Ten List Sicherheitslücken in Webanwendungen beinhalten eine Beschreibung jedes Problems und wie man sich dagegen wehrt. Die Website ist eine gute Quelle, um mehr über die Sicherheit von Webanwendungen zu erfahren, und bietet eine Fülle von Tools und Testtechniken.

Quelle

2008-09-16 02:14:06 Markc

 Verwandte Themen

  • Keine verwandten Themen^_^