İçindekiler:
- Güvenliği gizlilik prensibi ile uygulama
- Web uygulamalarına yönelik saldırıları algılayabilen ve engelleyebilen ağ tabanlı bir güvenlik duvarı veya IPS.
Video: Detective Jackie – Mystic Case (Subtitles): The Movie 2024
Web uygulamalarınızı güvende tutmak, etik hırsızlık çabalarınızda ve web geliştiricilerinizin ve sağlayıcıların bir kısmında sürekli dikkatli olmayı gerektirir. En yeni kesmek, test araçları ve teknikleri takip edin ve geliştiricilerinizin ve sağlayıcılarınıza, güvenlikin kuruluşunuz için en üst düzeyde önceliğe sahip olması gerektiğini bildirmesine izin verin.
Aşağıdaki kaynakları kullanarak doğrudan uygulamalı deneyim testi ve web uygulamaları korsanlığı elde edebilirsiniz:
OWASP webGoat Projesi
Foundstone's Hacme Tools
Güvenliği gizlilik prensibi ile uygulama
- belirli kod türlerine veya varsayılan HTTP bağlantı noktalarına saldırmak için kodlarla kodlanmış solucanlardan veya komut dosyalarından otomatik saldırılar önleyebilir: Web uygulamaları ve ilgili veritabanlarını korumak için her bir web sunucusu, uygulama ve veritabanı sunucusunu çalıştırmak için farklı makineler kullanın.
-
Bu makinelerin işletim sistemleri güvenlik açıkları açısından test edilmeli ve en iyi uygulamalara dayalı olarak sertleştirilmelidir.
IIS'deki uygulama izolasyonu özelliği gibi erişim denetimlerini ve işlem izolasyonunu işlemek için yerleşik web sunucusu güvenlik özelliklerini kullanın. Bu uygulama, bir web uygulaması saldırıya uğradığında, aynı sunucudaki diğer uygulamaların mutlaka risk altında kalmasını sağlamaya yardımcı olur. -
Web sunucunuzun kimliğini gizlemek için bir araç kullanın - aslında sunucunuzu anonimleştirin. Buna bir örnek, Port 80 Yazılımının Sunucu Maskesi'dir.
Web uygulamasına karşı gerçekleştirilen platforma özel saldırılardan endişeleniyorsanız, saldırganı, web sunucusunun veya işletim sisteminin tamamen farklı olduğunu düşünerek kandırın. İşte birkaç örnek: -
Bir Microsoft IIS sunucusu ve uygulamaları çalıştırıyorsanız, tüm ASP komut dosyalarınızı a. cgi uzantısı.
-
Linux web sunucusu çalıştırıyorsanız, OS parmak izini değiştirmek için IP Kişilik gibi bir program kullanın, böylece sistem başka bir şey çalıştırıyormuş gibi görünür.
-
Web uygulamanızı standart dışı bir bağlantı noktasında çalışacak şekilde değiştirin. Varsayılan HTTP bağlantı noktası 80 veya HTTPS bağlantı noktası 443'ten 8877 gibi yüksek bağlantı noktası numarasına gidin ve mümkünse, sunucuyu ayrıcalıksız bir kullanıcı olarak çalıştırmak üzere ayarlayın - yani, sistem, yönetici, kök vb. Dışında bir şey yapın üzerinde.
-
Asla
-
-
hiç
yalnız karanlığa güveniyor; Bu kusursuz değildir. Özel bir saldırgan, sistemin iddia ettiği gibi olmadığını belirleyebilir.Naysayers bile olsa, hiçbir şeyden daha iyi olabilir. Güvenlik duvarları koyun Aşağıdakiler de dahil olmak üzere web sisteminizi korumak için ek denetimler kullanmayı düşünün:
Web uygulamalarına yönelik saldırıları algılayabilen ve engelleyebilen ağ tabanlı bir güvenlik duvarı veya IPS.
Bu, SonicWall, Check Point ve Sourcefire gibi şirketler tarafından sağlanan ticari güvenlik duvarları ve Yeni Nesil IPS'leri içerir.
-
SecureIIS veya ServerDefender gibi bir ana bilgisayar tabanlı web uygulaması IPS, .
-
Bu programlar, web uygulamasını ve belirli veritabanı saldırılarını gerçek zamanlı olarak algılayabilir ve herhangi bir zarar verme şansına sahip olmadan onları kesebilir. Kaynak kodunu analiz edin
Yazılım geliştirme, güvenlik açıklarının başladığı ve
bitmesi ancak nadiren yapılması gerektiği yerdir. Bu noktaya kadar etik hırsızlık girişimlerinizden eminseniz, kaynak kodunuzdaki güvenlik kusurlarını bulmak için daha derine inebilirsiniz; bunlar geleneksel tarayıcılar ve hack teknikleriyle asla keşfedilmemiş olsalar da yine de sorunlardır. Korkma! Gerçekten çok daha basit geliyor. Hayır, neler olduğunu görmek için kodu tek tek satırdan geçireceksiniz. Geliştirme tecrübesine ihtiyacınız yoktur (yardımcı olsa da). Bunu yapmak için, Veracode ve Checkmarx tarafından sunulanlar gibi statik bir kaynak kodu analiz aracı kullanabilirsiniz. Checkmarx'ın CxSuite (daha özel olarak CxDeveloper), hem web uygulamalarını hem de mobil uygulamalarını test etmede makul fiyatlı ve çok kapsamlı bağımsız bir araçtır.
CxDeveloper ile, yalnızca Enterprise Client'ı yükleyip uygulamaya giriş yaparsınız (varsayılan kimlik bilgileri admin @ cx / admin'dir), Tarama Sihirbazı'nı çalıştırarak onu kaynak koda yönlendirin ve tarama politikanızı seçin, İleri'yi tıklatın, Çalıştır'ı tıklayın, siz de çalışmazsınız.
Tarama tamamlandığında, bulguları ve önerilen çözümleri inceleyebilirsiniz.
CxDeveloper, basit bir paket halinde paketlenmiş C #, Java ve mobil kaynak kodundaki güvenlik açıklarını analiz etmek ve raporlamak için ihtiyaç duyduğunuz şeyin hemen hemen hepsidir. Checkmarx, aynı Veracode gibi bulut tabanlı bir kaynak kodu analiz hizmeti de sunmaktadır. Kaynak kodunuzu bir üçüncü şahsa yüklemekle ilişkili herhangi bir engelden kurtulabiliyorsanız, bunlar kaynak kodu analizi için daha verimli ve en çok eller serbest seçeneği sunabilir.
Kaynak kodu analizi, geleneksel web güvenliği testlerinden farklı kusurları ortaya çıkaracaktır. En kapsamlı test seviyesini istiyorsanız, her ikisini de yapın. Kaynak analizi ile sunulan ekstra çekler, mobil uygulamalarla giderek daha da önem kazanmaktadır. Bu uygulamalar çoğunlukla birçok yeni yazılım geliştiricisinin okulda öğrenmediği güvenlik açıklarıyla doludur.
Web güvenliği ile alt satırda, güvenlik geliştiricilerinin ve kalite güvencesi analizcilerinin onlarla başlayacaklarını gösterseniz, kuruluşunuzun genel bilgi güvenliğinde gerçekten fark yaratabiliriz.
