Quels sont les risques de sécurité potentiels typiques que les développeurs doivent prendre en compte?

Question

Il s'agit d'une question vaste à la recherche d'une réponse large décente, mais je suis vraiment curieux de savoir quels sont les problèmes clés que les développeurs professionnels doivent prendre en compte en termes de sécurité.

Comment rendre votre site plus résistant aux hackers? Comment assurez-vous la sécurité des bases de données de vos entreprises?

Je suis un vrai Noob des questions de sécurité, mais je suis impatient d'entendre des gens au sujet de modèles de conception typiques pour la sécurité (s'il y a une telle chose), la facilité d'utilisation des méthodes de cryptage, etc.

Merci!

Answer 1

application Web

entrée utilisateur Ne faites jamais confiance! Supposons que les utilisateurs tentent de transmettre un contenu malveillant à votre application.

Ce genre de chose mène aux problèmes dont parle @Matteo Mosca.

Database

Du côté de la base de données assurez-vous que vous cryptez les informations que vous ne voulez pas que les gens de voir facilement si elles ne pirater votre base de données (mots de passe, etc.)

Here est un bon article sur stocker les mots de passe dans votre db.

Liens pour plus d'informations:

• XSS
• CSRF
• SQL Injection

Answer 2

Je peux vous signaler quelques attaques typiques qui peuvent être essayées sur un site Web. Vous pouvez trouver beaucoup de ressources sur chacun d'entre eux sur le web.

• XSS (de cross site scripting)
• CSRF/XSRF (cross site Demande de faux)
• injection sql

Ce sont les plus courantes, je vous recommande de commencer par l'étude de ces derniers.

Answer 3

Ce n'est pas une liste exhaustive de tout ce que vous avez à faire, mais il devrait vous permettre de penser à des réponses à vos questions:

Comment faites-vous votre site web pirate preuve?

• Partout où la sécurité est une préoccupation, assurez-vous d'utiliser le cryptage SSL.
• N'utilisez jamais de SQL dynamique. Toujours utiliser des requêtes paramétrées ou des procédures stockées. Cela protégera contre les attaques par injection SQL.
• Ne stockez jamais les mots de passe des utilisateurs en texte brut. Toujours utiliser un hachis salé.
• Obliger les utilisateurs (en particulier les administrateurs) à utiliser des mots de passe forts.
• Veillez à inspecter les paramètres de requête pour le contenu dangereux. Cela aidera à se défendre contre les attaques de type "Cross-Site Scripting".

Comment assurer la sécurité des bases de données de vos entreprises?

• Ne pas exposer les bases de données directement à Internet.
• Nécessite des mots de passe forts.
• Assurez-vous que les meilleures pratiques sont respectées pour les applications se connectant à la base de données afin qu'elles n'exposent pas les données via des attaques par injection SQL.

Answer 4

Secrets de Bruce Schneier et les mensonges est un très bon livre à lire comme une enquête philosophique générale du sujet.

Answer 5

Bien qu'il y ait eu beaucoup de bonnes suggestions publié, je suggère que l'on devrait prendre plus systématique et approche méthodologique. Plutôt que de protéger les attaques XYZ au hasard, il est plus logique d'effectuer d'abord une modélisation des menaces sur le site Web que vous voulez protéger contre les «hackers». Par exemple, considérons un site intranet qui n'autorise aucune entrée de l'utilisateur. Seules les informations en lecture seule mais confidentielles sont disponibles. Devriez-vous être préoccupé par l'injection SQL, XSS, etc.? Je ne pense pas (puisqu'il n'y a aucune entrée d'utilisateur). La reliure DNS est plus préoccupante que l'attaque ici. Est-ce que le site Web/vérifier l'en-tête HOST? Sinon, le site pourrait être vulnérable et les données confidentielles pourraient être divulguées à des utilisateurs non autorisés. En effectuant une modélisation des menaces, on obtient une image claire des principales menaces pour l'application et en se basant sur l'évaluation des risques, on devrait élaborer une stratégie d'atténuation.