¿Buena guía para la seguridad de aplicaciones web?

Question

Soy bastante bueno en la creación de aplicaciones web y sé cómo transferir datos hacia y desde el cliente/servidor, etc. Necesito ayuda para aprender cómo hacer que los intercambios de datos sean más seguros. Esa es la razón por la que me da un poco de miedo publicar cualquier aplicación web que haga. Quería saber cuáles son algunas buenas guías para ayudarlo a comprender y aprender cómo proteger la transferencia de datos con su aplicación web. Cosas como mejor autenticación, por ejemplo, y hacer mejores inicios de sesión.

Puede publicar cualquier sugerencia, pero solo para su información, codifico principalmente mis aplicaciones web con Javascript y PHP. Además, transfiero mis datos usando JSON o XML.

Muchas gracias

Answer 1

OWASP tiene una gran selección de guías, ejemplos de proyectos y aplicaciones de prueba en la seguridad de aplicaciones web tema.

Mi favorito personal es backend security project, que solía demostrarle a mi gerente que nuestros sistemas internos necesitaban mucha atención, y que la seguridad del back-end no era un beneficio percibido por el usuario, no significaba que pudiera ser ignorado

This project en particular, da un buen consejo para la validación de datos, manejo de errores, la criptografía, etc.

Answer 2

Creo que este libro es un buen punto de partida si desea saber más acerca de la seguridad en general en un php-aplicación. http://phpsecurity.org/

Opcionalmente podría considerar agregar un IDS a su aplicación web. Puedo recomendar PHPIDS

Answer 3

Google's Doctype es una (muy mal llamada) "enciclopedia y la biblioteca de referencia abierta para los desarrolladores de aplicaciones web", que tiene una buena introducción section on Web Security que se centra en XSS. Dado el título genérico "Seguridad web", podría beneficiarse al cubrir más problemas, como CSRF, pero es bastante completo en su cobertura de vectores de ataque XSS. ¿Sabía que IE can be tricked ejecuta JavaScript en lo que debería ser una imagen cargada por el usuario?

Answer 4

Javascript:

Esto podría ser un video muy interesante para ti: http://www.youtube.com/watch?v=eL5o4PFuxTY

No volverse loco en nombres de usuario y contraseñas. Sea profesionalmente flojo: ¡sepa lo que está haciendo! JSON es ideal para la transferencia de datos, XML tiene mucha sobrecarga en mi opinión.

Utilice JSON.parse nunca use eval.

PHP

Siempre use mysql_real_escape_string o mysqli_escape_string. Use htmlspecialchars antes de mostrar la entrada del usuario o use strip_tags antes de guardar la entrada del usuario. Nunca confíes en nada que provenga del usuario/navegador.

Answer 5

Hay una gran post here en muchos aspectos de la creación de sitios, incluida la seguridad. Este es un extracto de la respuesta principal que puede ayudar.

• es mucho para digerir, pero el OWASP development guide cubre la seguridad del sitio web de arriba a abajo
  • saber sobre SQL injection y cómo prevenirlo
  • entrada del usuario Nunca confianza (las cookies son la entrada del usuario también!)
  • Encripte las contraseñas Hash y Salt en lugar de almacenarlas en texto sin formato.
  • No intente idear su propio sistema de autenticación sofisticado: es tan fácil equivocarse en formas sutiles e incontrolables, y ni siquiera lo sabría hasta después de haber sido pirateado.
  • Conocer la rules for processing credit cards. (See this question as well)
  • Usar SSL/HTTPS para inicio de sesión y las páginas donde se introducen los datos sensibles (como información de tarjetas de crédito)
  • Cómo resistir el robo de sesiones
  • Evitar cross site scripting (XSS)
  • Evitar cross site request forgeries (XSRF)
  • Mantenga su sistema (s) actualizado con los parches más recientes
  • Asegúrese de que la información de su conexión a la base de datos esté segura.
  • Manténgase informado sobre las últimas técnicas de ataque y vulnerabilidades que afectan su plataforma.
  • Leer The Google Browser Security Handbook
  • Leer The Web Application Hackers Handbook