Nasvet - varnost spletnih aplikacij

6 naročnikov

Pozdravljeni.

Kot razvijalec spletnih aplikacij se velikokrat vprašam ali so moje aplikacije dovolj varne za uporabo na spletu in če nudijo dovolj varnosti pred vdori in raznimi drugimi vplivi, ki lahko onemogočijo ali upočasnijo ali kakorkoli drugače vplivajo na to, da je stran online ali offline.

Nekaj varnostnih rešitev za vaše spletne aplikacije:
- https varnostni certifikat
- mysql escape string za mysql
- dovoljeni znaki v url naslovu permittedurichars <- a-z 0-9~%.:_-@ za url naslove
- xss filter
- csrf

S to objavo želim pomagati tudi drugim razvijalcem, da poskrbijo za varnost svojih aplikacij bolje, kot so to počeli do sedaj.

Zanima me, katere varnostne mehanizme uporabljate pri spletnih aplikacijah in niso zgoraj navedene.

PLATFORMA: php
BAZA: mysql
SERVER: LINUX

Zgoraj navedeni varnostni elementi so za samo programsko kodo... Zanima me, kateri so še varnostni elementi, ki bi naj bili skonfigurirani na samem SERVERJU.

Modsecurity, disejblane dolocene php funkcije, nastavljen base_dir za userje itd ... Napisanega je bilo ze precej, mislm da pred kratkim, kar se tice varnosti na strezniku. Pobrskaj malo po forumu.

dosledna uporaba htaccess (omejitev dostopa občutljivih delov strani na fiksni ip) ?

minimizacija stvari ki ti jih vrača server (verzije os-a, verzije serverja itd)

Dobro je spremljati OWASP in njihov seznam najpogostejših 10 ranljivosti spletnih aplikacij, ki se spreminjajo skozi leta. OWASP Ten Cheat Sheet.

poglej si ebook Web Application Hacker's Handbook

je tok stvari da te bo minilo brat :)