Làm thế nào để Tối thiểu hoá Rủi ro An ninh Web để Tránh Bắt Hacked - núm vú

Việc giữ các ứng dụng web của bạn an toàn đòi hỏi sự cảnh giác liên tục trong nỗ lực hacking đạo đức của bạn và về phía các nhà phát triển web và các nhà cung cấp của bạn. Theo kịp các hacks mới nhất, công cụ kiểm tra và kỹ thuật và để cho các nhà phát triển và nhà cung cấp của bạn biết rằng bảo mật cần phải là ưu tiên hàng đầu cho tổ chức của bạn.

Bạn có thể trực tiếp trải nghiệm thử nghiệm và hacking các ứng dụng web bằng cách sử dụng các tài nguyên sau:

• Các công cụ Hacme của OWASP

• Các công cụ của Hacme Foundstone

Thực hành bảo mật theo sự che chở

Các hình thức bảo mật dưới sự che chở - che giấu một cái nhìn rõ ràng bằng cách sử dụng các phương pháp tầm thường - Có thể giúp ngăn chặn các cuộc tấn công tự động từ sâu hoặc các kịch bản được mã hóa cứng để tấn công các kiểu kịch bản cụ thể hoặc cổng HTTP mặc định:

• Để bảo vệ các ứng dụng web và các cơ sở dữ liệu liên quan, sử dụng các máy khác nhau để chạy từng máy chủ web, ứng dụng và máy chủ cơ sở dữ liệu.

  Sử dụng các tính năng bảo mật máy chủ web tích hợp để quản lý kiểm soát truy cập và cách ly quá trình, chẳng hạn như tính năng cô lập ứng dụng trong IIS. Thực tiễn này giúp đảm bảo rằng nếu một ứng dụng web bị tấn công, nó sẽ không nhất thiết đưa bất kỳ ứng dụng nào khác đang chạy trên cùng một máy chủ có nguy cơ.

• Sử dụng công cụ để che giấu danh tính máy chủ web của bạn - chủ yếu là ẩn danh máy chủ của bạn. Một ví dụ là ServerMask của Port 80 Software.

• Nếu bạn quan tâm đến các cuộc tấn công theo từng nền cụ thể được thực hiện đối với ứng dụng web của bạn, bạn có thể lừa kẻ tấn công nghĩ đến máy chủ web hoặc hệ điều hành là hoàn toàn khác. Dưới đây là một số ví dụ:

• Nếu bạn đang chạy một máy chủ và ứng dụng Microsoft IIS, bạn có thể đổi tên tất cả các kịch bản ASP của bạn để có một. cgi mở rộng.

  • Nếu bạn đang chạy một máy chủ web Linux, hãy sử dụng một chương trình như IP Personality để thay đổi dấu vân tay của hệ điều hành để hệ thống trông như thể nó đang chạy cái gì đó khác.

  • Thay đổi ứng dụng web của bạn để chạy trên một cổng không chuẩn. Thay đổi từ cổng HTTP mặc định cổng 80 hoặc HTTPS 443 sang số cổng cao, chẳng hạn như 8877, và nếu có thể, thiết lập máy chủ để chạy như một người dùng không có đặc quyền - nghĩa là, cái gì khác hơn là hệ thống, quản trị viên, root, trên.

• Không bao giờ

bao giờ chỉ dựa vào sự tối tăm; nó không phải là foolproof. Một kẻ tấn công chuyên dụng có thể xác định rằng hệ thống không phải là những gì nó tuyên bố.Tuy nhiên, ngay cả với những người không phải là người bình thường, nó có thể tốt hơn là không có gì. Đưa tường lửa

Xem xét sử dụng các điều khiển bổ sung để bảo vệ các hệ thống web của bạn, bao gồm:

Một tường lửa dựa trên mạng hoặc IPS có thể phát hiện và ngăn chặn các cuộc tấn công vào các ứng dụng web.

• Điều này bao gồm tường lửa thương mại và IPS thế hệ tiếp theo có sẵn từ các công ty như SonicWall, Check Point và Sourcefire. Một ứng dụng web dựa trên máy chủ lưu trữ IPS,

• như SecureIIS hoặc ServerDefender. Các chương trình này có thể phát hiện ứng dụng web và các cuộc tấn công cơ sở dữ liệu nhất định trong thời gian thực và cắt chúng ra trước khi chúng có cơ hội để làm bất kỳ tác hại.

  Phân tích mã nguồn

Phát triển phần mềm là nơi mà lỗ hổng bảo mật bắt đầu và

nên kết thúc nhưng hiếm khi làm. Nếu bạn cảm thấy tự tin về các nỗ lực tìm kiếm đạo đức của mình cho đến thời điểm này, bạn có thể đào sâu hơn để tìm các lỗ hổng bảo mật trong mã nguồn của bạn - những điều mà máy quét và kỹ thuật hacking truyền thống không thể phát hiện được nhưng đó vẫn là vấn đề. Đừng sợ! Nó thực sự đơn giản hơn nhiều so với âm thanh. Không, bạn sẽ không phải đi qua các dòng mã theo dòng để xem những gì đang xảy ra. Bạn thậm chí không cần trải nghiệm phát triển (mặc dù nó giúp).

Để thực hiện việc này, bạn có thể sử dụng công cụ phân tích mã nguồn tĩnh, chẳng hạn như các công cụ được cung cấp bởi Veracode và Checkmarx. CxSuite của Checkmarx (cụ thể là CxDeveloper) là một công cụ độc lập có giá cả hợp lý và rất toàn diện trong việc kiểm tra cả ứng dụng web và ứng dụng trên điện thoại di động.

Với CxDeveloper, bạn chỉ cần nạp Enterprise Client, đăng nhập vào ứng dụng (các thông tin mặc định là admin @ cx / admin), chạy Create Scan Wizard để trỏ nó vào mã nguồn và chọn chính sách quét của bạn, nhấn Next, bấm Chạy, và bạn đang tắt và chạy.

Khi quá trình quét hoàn tất, bạn có thể xem lại kết quả và giải pháp được đề xuất.

CxDeveloper là khá nhiều thứ bạn cần để phân tích và báo cáo về các lỗ hổng trong C #, Java và mã nguồn di động được gói trong một gói đơn giản. Checkmarx, như Veracode, cũng cung cấp một dịch vụ phân tích mã nguồn dựa trên đám mây. Nếu bạn có thể vượt qua bất kỳ rào cản liên quan đến việc tải mã nguồn của bạn lên cho bên thứ ba, chúng có thể cung cấp tùy chọn hiệu quả hơn và chủ yếu là rảnh tay để phân tích mã nguồn.

Phân tích mã nguồn sẽ thường phát hiện ra những sai sót khác với các thử nghiệm bảo mật web truyền thống. Nếu bạn muốn có mức độ kiểm tra toàn diện nhất, hãy làm cả hai. Mức kiểm tra bổ sung được cung cấp bởi phân tích nguồn đang ngày càng trở nên quan trọng với các ứng dụng di động. Các ứng dụng này thường chứa nhiều lỗ hổng bảo mật mà nhiều nhà phát triển phần mềm mới không tìm hiểu về trường học.

Điểm mấu chốt của bảo mật web là nếu bạn có thể cho các nhà phát triển và nhà phân tích đảm bảo chất lượng biết rằng bảo mật bắt đầu với họ, bạn có thể thực sự tạo sự khác biệt trong bảo mật thông tin tổng thể của tổ chức bạn.