1. Inicio
  2. Pregunta y respuesta
  3. Consejos principales para aplicaciones web seguras

Consejos principales para aplicaciones web seguras

2008-09-06 17 views

Respuesta

10

Microsoft Technet tiene una excelente artículo:

Ten Tips for Designing, Building, and Deploying More Secure Web Applications

Éstos son los temas de los consejos contestadas en ese artículo:

  1. Nunca confíe directamente en la entrada del usuario
  2. servicios deben tener ningún sistema ni acceso del administrador
  3. Siga Server Best Practices SQL
  4. proteger los activos
  5. incluir una auditoría, registro y generación de informes
  6. analizar el código fuente
  7. Implementar componentes Utilización de Defensa en profundidad
  8. apagará en profundidad de mensajes de error para usuarios finales
  9. Conocer la 10 Laws of Security Administration
  10. Tenga un plan de respuesta a incidentes de seguridad

Fuente

2008-09-06 08:23:56 Espo

+0

Especialmente me gusta la punta no. 10! Es cierto que nunca lo había pensado antes. –

4
  1. Escapar contenido proporcionado por el usuario para evitar XSS ataques.
  2. Usando paremeterised SQL o procedimientos almacenados para evitar ataques SQL Injections.
  3. Ejecutar el servidor web como una cuenta no privilegiada para minimizar los ataques al sistema operativo.
  4. Establecer los directorios del servidor web en una cuenta no entregada, de nuevo, para minimizar los ataques al sistema operativo.
  5. Configurando cuentas no entregadas en el servidor SQL y usándolas para la aplicación para minimizar los ataques en la base de datos.

Para obtener más información en profundidad, siempre existe la OWASP Guide to Building Secure Web Applications and Web Services

Fuente

2008-09-06 08:23:10 Oded

6

No confíe en la entrada del usuario.

La validación de los tipos de datos esperados y el formato es esencial para la inyección SQL y los ataques de Cross-Site Scripting (XSS).

Fuente

2008-09-06 08:31:17

0

Establezca el indicador de seguridad en las cookies para las aplicaciones SSL. De lo contrario, siempre hay un ataque highjacking que es mucho más fácil de llevar a cabo que romper la criptografía. Esta es la esencia de CVE-2002-1152.

Fuente

2008-09-06 13:49:56 Purfideas

1

Algunos de mis favoritos:

  1. Filter Input, Escape Output para ayudar a proteger contra ataques XSS o de inyección SQL
  2. Uso prepara declaraciones de las consultas de bases de datos (los ataques de inyección SQL)
  3. cuentas de usuario no utilizadas Deshabilitar en el servidor de prevenir ataques de contraseñas de fuerza bruta
  4. Eliminar información de la versión Apache del encabezado HTTP (ServerSignature = Desactivado, ServerTokens = ProductOnly)
  5. Ejecutar su web servidor en una cárcel chroot para limitar el daño en caso de peligro

Fuente

2008-09-06 15:42:42

+0

+1 a 'entrada de filtro' en lugar de escapar. Nunca intente masajear la entrada no válida del usuario. – n0rm1e

1

OWASP es tu amigo. Su Top Ten List de vulnerabilidades de seguridad de aplicaciones web incluye una descripción de cada problema y cómo defenderse de él. El sitio es un buen recurso para aprender más sobre la seguridad de las aplicaciones web y también incluye una gran cantidad de herramientas y técnicas de prueba.

Fuente

2008-09-16 02:14:06 Markc

Cuestiones relacionadas

 Cuestiones relacionadas