Innehållsförteckning:
- Följande former av
- Överväg att använda ytterligare kontroller för att skydda dina webbsystem, inklusive följande:
- Programutveckling är där säkerhetshål börjar och
Video: Ergonomi i skogsmaskiner 2024
Att behålla dina webbapplikationer kräver kontinuerlig vaksamhet i dina etiska hackingsinsatser och hos dina webbutvecklare och leverantörer. Håll dig uppdaterad med de senaste hackarna, testverktygen och teknikerna och låt dina utvecklare och leverantörer veta att säkerheten behöver vara högsta prioritet för din organisation.
Du kan få direkt praktisk testning och hacking av webbapplikationer genom att använda följande resurser:
OWASP webgoatprojekt-
Foundstone's Hacme-verktyg
-
Öva säkerhet genom dunkelhet
Följande former av
säkerhet genom dunkelhet - gömmer något från uppenbar bild med triviala metoder - kan bidra till att förhindra automatiska attacker från maskar eller skript som är hårdkodade för att attackera specifika skripttyper eller standard HTTP-portar: För att skydda webbapplikationer och relaterade databaser, använd olika maskiner för att köra varje webbserver, applikation och databasserver.
-
Använd inbyggda säkerhetsfunktioner för webbserver för att hantera åtkomstkontroller och processisolering, till exempel applikationsisoleringsfunktionen i IIS. Denna praxis hjälper till att säkerställa att om en webbapplikation attackeras, kommer det inte nödvändigtvis att sätta några andra program som körs på samma server i fara.
-
-
Om du är oroad över att plattformsspecifika attacker utförs mot din webbapplikation, kan du lura angriparen för att tro att webbservern eller operativsystemet är något helt annat. Här är några exempel:
-
Om du kör en Microsoft IIS-server och -program kan du byta namn på alla dina ASP-skript för att få en. cgi förlängning.
-
Om du kör en Linux-webbserver, använd ett program som IP-personlighet för att ändra operativsystemets fingeravtryck så att systemet ser ut som om det kör något annat.
-
Ändra din webbapplikation för att köras på en icke-standardport. Ändra från standard HTTP-port 80 eller HTTPS-port 443 till ett högt portnummer, till exempel 8877 och, om möjligt, ställa in servern för att köra som en icke-privilegierad användare - det vill säga något annat än system, administratör, root och så på.
-
-
Aldrig
någonsin förlita sig på obskärlighet ensam; det är inte idiotiskt. En dedikerad angripare kan bestämma att systemet inte är vad det hävdar att det är.Men även med naysayersna kan det vara bättre än ingenting. Sätt upp brandväggar
Överväg att använda ytterligare kontroller för att skydda dina webbsystem, inklusive följande:
En nätverksbaserad brandvägg eller IPS som kan upptäcka och blockera attacker mot webbapplikationer.
-
Detta inkluderar kommersiella brandväggar och Next Generation IPSs tillgängliga från sådana företag som SonicWall, Check Point och Sourcefire. En värdbaserad webbapplikation IPS,
-
som SecureIIS eller ServerDefender. Dessa program kan upptäcka webbapplikationer och vissa databasattacker i realtid och skära av dem innan de har chans att göra någon skada.
Analysera källkod
Programutveckling är där säkerhetshål börjar och
ska sluta men sällan göra. Om du känner dig säker på dina etiska hackingåtgärder till den här tiden kan du gräva djupare för att hitta säkerhetsbrister i källkoden - saker som aldrig kan upptäckas av traditionella skannrar och hackningstekniker, men det är ändå problem. Frukta inte! Det är faktiskt mycket enklare än det låter. Nej, du behöver inte gå igenom kodlinjen för rad för att se vad som händer. Du behöver inte ens utvecklingserfarenhet (även om det hjälper).
För att göra detta kan du använda ett statiskt källkodsanalysverktyg, som de som erbjuds av Veracode och Checkmarx. Checkmarx CxSuite (mer specifikt CxDeveloper) är ett fristående verktyg som är rimligt prissatt och mycket omfattande när det gäller testning av både webbapplikationer och mobilappar.
Med CxDeveloper laddar du helt enkelt Enterprise Client, loggar in på programmet (standarduppgifter är admin @ cx / admin), kör guiden Skapa skanning för att peka den på källkoden och välj din skanningspolicy, klicka på Nästa, klicka på Kör, och du är igång.
När skanningen är klar kan du granska resultaten och de rekommenderade lösningarna.
CxDeveloper är ganska mycket allt du behöver för att analysera och rapportera om sårbarheter i din C #, Java och mobil källkod bunden till ett enkelt paket. Checkmarx, som Veracode, erbjuder också en molnbaserad källkodsanalys. Om du kan komma över några hinder som är förknippade med att ladda upp källkoden till en tredje part kan dessa erbjuda ett effektivare och mest handsfree alternativ för källkodsanalys.
Källkodsanalys upptäcker ofta olika brister än traditionell webbsäkerhetsprovning. Om du vill ha den mest omfattande testnivån, gör du båda. Den extra kontrollnivån som erbjuds av källanalysen blir allt viktigare med mobilappar. Dessa appar är ofta fulla av säkerhetshål som många nyare programutvecklare inte lärde sig om i skolan.
Utgångspunkten för webbsäkerhet är att om du kan visa dina utvecklare och kvalitetssäkringsanalytiker att säkerhet börjar med dem, kan du verkligen göra skillnad i organisationens övergripande informationssäkerhet.