Indholdsfortegnelse:
Video: Sådan minimerer du de juridiske risici ved projektbyggeri - Advokat Rasmus Haugaard 2024
Sikring af din webapplikation kræver løbende årvågenhed i din etiske hacking og dine webudviklere og -leverandørers side. Fortsæt med de nyeste hackere, testværktøjer og teknikker, og lad dine udviklere og leverandører vide, at sikkerhed skal have høj prioritet for din organisation.
Du kan få direkte praktisk erfaringstest og hacking webapplikationer ved at bruge følgende ressourcer:
OWASP webgodeprojekt
Foundstone's Hacme-værktøjer
Øvelse sikkerhed ved dunkelhed
Følgende former for sikkerhed ved dunkelhed - skjuler noget fra det indlysende syn ved brug af trivielle metoder - kan hjælpe med at forhindre automatiserede angreb fra orme eller scripts, der er hardkodede til at angribe bestemte scripttyper eller standard
-
For at beskytte webapplikationer og relaterede databaser skal du bruge forskellige maskiner til at køre hver webserver, applikation og databaseserver.
Operativsystemerne på disse individuelle maskiner skal testes for sikkerhedsproblemer og hærdet ud fra bedste praksis.
-
Brug indbyggede webserver sikkerhedsfunktioner til at håndtere adgangskontrol og procesisolering, som f.eks. Applikationsisoleringsfunktionen i IIS. Denne praksis hjælper med at sikre, at hvis en webapplikation bliver angrebet, vil det ikke nødvendigvis sætte andre applikationer i gang på den samme server i fare.
-
Brug et værktøj til at dæmpe din webservers identitet - i det væsentlige anonymisere din server. Et eksempel er Port 80 Software ServerMask.
-
Hvis du er bekymret over, at platformspecifikke angreb udføres mod din webapplikation, kan du narre angriberen til at tro, at webserveren eller operativsystemet er noget helt anderledes. Her er et par eksempler:
-
Hvis du kører en Microsoft IIS-server og -programmer, kan du omdøbe alle dine ASP-scripts til at have en. cgi forlængelse.
-
Hvis du kører en Linux-webserver, skal du bruge et program som IP Personlighed til at ændre OS-fingeraftryk, så systemet ser ud til at det kører noget andet.
-
-
Skift din webapplikation til at køre på en ikke-standardport. Skift fra standard HTTP-port 80 eller HTTPS-port 443 til et højt portnummer, f.eks. 8877, og om muligt indstille serveren til at køre som en ikke-privilegeret bruger - det vil sige noget andet end system, administrator, root og så på.
Aldrig nogensinde stole på uklarhed alene; det er ikke idiotsikkert. En dedikeret angriber kan bestemme, at systemet ikke er, hvad det hævder at være.Stadig, selv med naysayers, kan det være bedre end ingenting.
Sæt firewalls på
Overvej at bruge ekstra kontroller til beskyttelse af dine websystemer, herunder følgende:
-
En netværksbaseret firewall eller IPS, der kan registrere og blokere angreb mod webapplikationer. Dette omfatter kommercielle firewalls og Next Generation IPS'er, der er tilgængelige fra sådanne virksomheder som SonicWall, Check Point og Sourcefire.
-
En værtsbaseret webapplikation IPS, som SecureIIS eller ServerDefender.
Disse programmer kan registrere webapplikation og bestemte databaseangreb i realtid og afskære dem, før de har chancen for at gøre nogen skade.
Analyser kildekode
Softwareudvikling er hvor sikkerhedshullerne begynder og skal ende, men sjældent gør. Hvis du føler dig sikker på din etiske hackingindsats til dette punkt, kan du grave dybere for at finde sikkerhedsfejl i din kildekode - ting, der aldrig kan opdages af traditionelle scannere og hackingsteknikker, men det er dog problemer. Frygt ej!
Det er faktisk meget enklere end det lyder. Nej, du behøver ikke at gå gennem kode linjen for at se, hvad der sker. Du behøver ikke engang udviklingserfaring (selvom det hjælper).
For at gøre dette kan du bruge et statisk kildekode analyseværktøj, som dem, der tilbydes af Veracode og Checkmarx. Checkmarx's CxSuite (mere specifikt CxDeveloper) er et selvstændigt værktøj, der er rimeligt prissat og meget omfattende i dets test af både webapplikationer og mobilapps.
Med CxDeveloper skal du blot indlæse Enterprise Client, logge ind på applikationen (standard legitimationsoplysninger er admin @ cx / admin), kør guiden Opret scanning til at pege på kildekoden og vælg din scanningspolitik, klik på Næste, klik på Kør, og du er slukket.
Når scanningen er færdig, kan du gennemgå resultaterne og de anbefalede løsninger.
CxDeveloper er stort set alt, hvad du behøver for at analysere og rapportere om sårbarheder i din C #, Java og mobil kildekode, der er samlet i en enkelt pakke. Checkmarx, ligesom Veracode, tilbyder også en skybaseret kildekodeanalysetjeneste. Hvis du kan komme over eventuelle forhindringer forbundet med at uploade din kildekode til en tredjepart, kan disse tilbyde en mere effektiv og mest praktisk løsning til kildekodeanalyse.
Kildekodeanalyse vil ofte afdække forskellige fejl end traditionel websikkerhedstestning. Hvis du vil have det mest omfattende niveau af test, skal du gøre begge dele. Det ekstra niveau af kontrol, der tilbydes af kildeanalyse, bliver mere og mere vigtigt med mobilapps. Disse apps er ofte fulde af sikkerhedshuller, som mange nyere softwareudviklere ikke lærte om i skolen.
Den nederste linje med websikkerhed er, at hvis du kan vise dine udviklere og kvalitetssikringsanalytikere, at sikkerhed begynder med dem, kan du virkelig gøre en forskel i din organisations samlede informationssikkerhed.
