Isi kandungan:
Video: Cara Memilih Suplemen Yang Baik 2024
Menjaga aplikasi web anda selamat memerlukan kewaspadaan yang berterusan dalam usaha penggodaman etika anda dan di pihak pembangun dan vendor web anda. Teruskan dengan hacks terkini, alat ujian, dan teknik dan biarkan pembangun dan vendor anda mengetahui bahawa keselamatan perlu menjadi keutamaan bagi organisasi anda.
Anda boleh mendapatkan pengalaman pengujian langsung dan aplikasi penggodaman secara langsung dengan menggunakan sumber-sumber berikut:
-
Projek webGoat OWASP
-
Alat Hacme Foundstone
Mengamalkan keselamatan dengan ketidakmurnian
Bentuk berikut keselamatan oleh ketidakcintilan - menyembunyikan sesuatu dari pandangan jelas menggunakan kaedah sepele - boleh membantu mencegah serangan automatik dari cacing atau skrip yang keras untuk menyerang jenis skrip tertentu atau port HTTP lalai:
-
Untuk melindungi aplikasi web dan pangkalan data berkaitan, gunakan mesin yang berbeza untuk menjalankan setiap pelayan web, aplikasi dan pelayan pangkalan data.
Sistem pengendalian pada mesin individu ini harus diuji untuk kelemahan keselamatan dan mengeras berdasarkan amalan terbaik.
-
Gunakan ciri keselamatan pelayan terbina dalam untuk mengendalikan kawalan akses dan proses pengasingan, seperti ciri pemisahan aplikasi dalam IIS. Amalan ini membantu memastikan bahawa jika satu aplikasi web diserang, ia tidak semestinya akan meletakkan sebarang aplikasi lain yang dijalankan pada pelayan yang sama berisiko.
-
Gunakan alat untuk mengaburi identiti pelayan web anda - pada dasarnya tidak mahu namakan pelayan anda. Contohnya ialah ServerMask Port 80 Software.
-
Jika anda bimbang tentang serangan khusus platform yang dijalankan terhadap aplikasi web anda, anda boleh menipu penyerang memikirkan pelayan web atau sistem pengendalian sesuatu yang sama sekali berbeza. Berikut adalah beberapa contoh:
-
Jika anda menjalankan pelayan dan aplikasi Microsoft IIS, anda boleh menamakan semula semua skrip ASP anda untuk mempunyai. lanjutan cgi.
-
Jika anda menjalankan pelayan web Linux, gunakan program seperti Personaliti IP untuk menukar cap jari OS supaya sistem kelihatan seperti ia menjalankan sesuatu yang lain.
-
-
Tukar aplikasi web anda untuk berjalan di port tidak standard. Tukar dari port HTTP lalai 80 atau HTTPS port 443 ke nombor port yang tinggi, seperti 8877, dan, jika mungkin, tetapkan pelayan untuk dijalankan sebagai pengguna yang tidak berharga - iaitu, selain sistem, pentadbir, root, dan sebagainya pada.
Jangan pernah bergantung pada kekaburan saja; ia tidak boleh dilupakan. Penyerang berdedikasi mungkin menentukan bahawa sistem itu bukanlah apa yang dikatakannya.Namun, walaupun dengan penyalahguna, ia boleh menjadi lebih baik daripada apa-apa.
Sediakan firewall
Pertimbangkan untuk menggunakan kawalan tambahan untuk melindungi sistem web anda, termasuk yang berikut:
-
Firewall atau IPS berasaskan rangkaian yang boleh mengesan dan menyekat serangan terhadap aplikasi web. Ini termasuk firewall komersil dan IPS Generasi Seterusnya yang terdapat dari syarikat seperti SonicWall, Point Check, dan Sourcefire.
-
Aplikasi web berasaskan host IPS, seperti SecureIIS atau ServerDefender.
Program-program ini boleh mengesan aplikasi web dan serangan pangkalan data tertentu dalam masa nyata dan memotongnya sebelum mereka mempunyai peluang untuk melakukan apa-apa kemudaratan.
Menganalisis kod sumber
Pembangunan perisian adalah di mana lubang keselamatan bermula dan harus berakhir tetapi jarang dilakukan. Sekiranya anda merasa yakin dengan usaha penggodaman etika anda, anda boleh menggali lebih mendalam untuk mencari kecacatan keselamatan dalam kod sumber anda - perkara yang mungkin tidak akan ditemui oleh pengimbas tradisional dan teknik penggodaman tetapi masalah itu tetap. Jangan takut!
Ia sebenarnya lebih mudah daripada bunyi. Tidak, anda tidak perlu melalui baris kod demi baris untuk melihat apa yang berlaku. Anda bahkan tidak memerlukan pengalaman pembangunan (walaupun ia membantu).
Untuk melakukan ini, anda boleh menggunakan alat analisis kod sumber statik, seperti yang ditawarkan oleh Veracode dan Checkmarx. Checkmarx's CxSuite (lebih khusus CxDeveloper) adalah alat mandiri yang cukup murah dan sangat komprehensif dalam pengujian kedua-dua aplikasi web dan aplikasi mudah alih. Dengan CxDeveloper, anda hanya memuatkan Client Enterprise, log masuk ke aplikasi (kelayakan lalai adalah admin @ cx / admin), jalankan Create Scan Wizard untuk mengarahkannya ke kod sumber dan pilih dasar imbasan anda, klik Next, klik Jalankan, dan anda keluar dan berjalan.
Apabila imbasan selesai, anda boleh menyemak penemuan dan penyelesaian yang disyorkan.
CxDeveloper adalah hampir semua yang anda perlukan untuk menganalisis dan melaporkan kerentanan dalam C #, Java, dan kod sumber mudah alih anda dibundel ke dalam satu pakej mudah. Checkmarx, seperti Veracode, juga menawarkan perkhidmatan analisa kod sumber berasaskan awan. Sekiranya anda boleh mendapatkan sebarang halangan yang berkaitan dengan memuat naik kod sumber anda kepada pihak ketiga, ini boleh menawarkan pilihan yang lebih cekap dan kebanyakannya bebas tangan untuk analisis kod sumber.
Analisis kod sumber sering akan mendedahkan kelemahan yang berbeza daripada ujian keselamatan web tradisional. Jika anda mahukan tahap ujian yang paling menyeluruh, lakukan kedua-duanya. Tahap tambahan cek yang ditawarkan oleh analisis sumber menjadi semakin penting dengan aplikasi mudah alih. Aplikasi ini selalunya penuh dengan lubang keselamatan yang banyak pemaju perisian baru yang tidak belajar di sekolah.
Intinya dengan keselamatan web ialah jika anda boleh menunjukkan penganalisis dan penganalisis jaminan kualiti bahawa keselamatan bermula dengan mereka, anda benar-benar boleh membuat perbezaan dalam keselamatan maklumat keseluruhan organisasi anda.
