SOS :: Security Operation Space
17 октября, среда, 00:00
|
Hot News:

OWASP опубликовала руководство по защите веб-приложений

17 мая 2018 г., четверг, 10:48

Эксперты определили основные векторы атаки и рассказали разработчикам, как обезопасить программы.

Некоммерческая организация Open Web Application Security Project (OWASP) выпустила рекомендации для разработчиков ПО, которые хотят поддерживать актуальный уровень защиты своих продуктов. Документ содержит 10 пунктов, на которые следует обратить внимание при создании веб-приложений, чтобы не оставить в коде возможности для взлома и кражи данных.

 

C1. Следование актуальным требованиям безопасности

Стандарты отрасли, законодательные предписания и накопленный опыт профессионального сообщества формируют набор представлений о необходимых защитных мерах. Разработчикам следует строить свои продукты на существующих практиках вместо того, чтобы изобретать собственные подходы.

C2. Использование безопасных фреймворков и библиотек

Программные инструменты с гарантированным отсутствием уязвимостей помогают создавать защищенные приложения. В противном случае разработка займет больше времени и обойдется дороже из-за дополнительных проверок и исправления ошибок.

C3. Обеспечение защищенного доступа к базам данных

Чтобы злоумышленники не могли провести SQL-инъекцию, следует убедиться в безопасности запросов, механизмов конфигурации, аутентификации и обмена данными с приложениями. В идеальной ситуации ПО должно автоматически блокировать любые команды, похожие на вредоносные.

C4. Шифрование и безопасность данных.

Схожим образом необходимо настроить преобразование специальных символов, которые могут интерпретироваться как часть команды. Например, открывающий HTML-тэги символ “<” необходимо заменять на “&lt;”. В противном случае злоумышленник может взломать страницу и добраться до веб-сервера. Еще один способ не допустить этого — добавлять “” до или после символов, которые имеют несколько значений: например, “”” может являться двойными кавычками (если это текст) или закрывать string.

C5. Проверка входящих данных

Нельзя обрабатывать данные, которые не отвечают ожиданиям системы. Проверка должна включать синтаксический и семантический аспекты. Например, если в неком поле следует ввести год, программа должна обрабатывать только запросы в виде последовательности из четырех цифр и игнорировать буквы и прочие символы. Во втором случае речь может идти о том, что дата начала операции должна быть раньше даты ее окончания.

C6. Защита “цифровой личности”

Это понятие обозначает совокупность данных о пользователе в рамках сеансов работы с приложением. Рекомендуется использовать сильные пароли и средства двойной или криптографической аутентификации (пароль+код со специального токена).

C7. Управление доступом

Этот механизм включает процессы авторизации и аутентификации. Система должна определять, какими правами на получение информации обладает каждый пользователь, приложение или процесс.

C8. Повсеместная защита информации

Обеспечение безопасности необходимо разделить на три части: классификация данных для корректной обработки каждого их типа, шифрование пересылаемой информации и баз данных.

C9. Мониторинг и ведение журналов безопасности

Контроль событий позволяет своевременно выявить признаки кибератаки: отправка нехарактерных запросов и команд, попытки отредактировать данные, которые должны оставаться неизменными, подозрительное поведение пользователей.

C10. Корректная обработка ошибок и исключений

Разработчик должен проверить, как программа реагирует на команды, не предусмотренные кодом, и неправильный ввод данных. В некоторых случаях непредвиденная ошибка может снизить производительность системы или привести к ее сбою. Кроме того, сообщения об ошибке не должны раскрывать полезную для злоумышленников информацию. Такие ситуации нужно отслеживать и совершенствовать алгоритм действий программы.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
16:46
16:15
16:12
15:15
14:15
13:15
11:49
11:15
10:15
08:15
08:15
08:15
07:15
06:18
06:15
05:47
15:15
15:15


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.116
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.