Seguridad de la aplicación web

3

Soy un desarrollador de aplicaciones web y recientemente una de mis aplicaciones fue pirateada. Quería saber cuáles son los posibles tipos de ataques realizados en la aplicación web (en detalle) y los métodos para prevenirlos.

¿Qué he intentado? :

Sé de muchos ataques & hacer mi mejor esfuerzo para asegurar las aplicaciones de esos. Actualmente utilizo esta una mi referencia de seguridad al desarrollar aplicaciones web.

¿Alguien puede recomendar otros enlaces mejores con una explicación detallada sobre la seguridad de la aplicación web?

    
pregunta gopi1410 26.06.2012 - 22:18
fuente

2 respuestas

5

Bien, hay toneladas de cosas en Owasp , por lo que te recomiendo que explores más su sitio. Tal vez uno de sus capítulos esté cerca de ti, podrías asistir a uno de ellos ya que son gratuitos.

Aquí hay algunos buenos hilos de este foro que contienen toneladas de información -

También consideraría instalar cosas como aplicaciones web vulnerables como Webgoat y DVWA para aprender de ellos.

Hay mucha información excelente y hojas de trucos aquí pero, lamentablemente, RSnake no publica más.

Sans tiene un blog de appsec aquí también.

Por último, y no menos importante, echaría un largo vistazo a las Secure Development stuff de @securityninja.

Eso debería ser suficiente para comenzar.

    
respondido por el Mark Hillick 26.06.2012 - 23:18
fuente
0

La seguridad de la aplicación web es un área enorme. Hay cientos de posibilidades y herramientas para hackear una aplicación web. Como usted es un desarrollador, este es el desglose rápido de problemas de clasificación de alto nivel.

  • Fallos en el diseño de la aplicación web y en el trabajo de marcos: este es mi favorito, la mayoría de los problemas de la aplicación web que descubrí son por esta razón, son específicos de la aplicación web. Cada uno de estos problemas puede ser único y solo aplicable a esta aplicación. Un diseño deficiente de una aplicación puede causar problemas más pequeños como estos que tienen mayores consecuencias: fuga de datos, configuraciones deficientes de la aplicación y estructura web, control de acceso deficiente y responsabilidad: acceso no autorizado / no restringido a través de la aplicación web a través de diversos datos. , el contenido no protegido y el acceso cruzado de varios dominios del sistema, la actividad del usuario y la enumeración del flujo de trabajo / proceso, la seguridad deficiente en los servicios web - wsdl / soap, fallas en la sesión & manejo de solicitudes, desbordamientos de parámetros que causan DoS o ejecución remota de código. Estos pueden parecer elementos de bajo riesgo, pero pueden conducir de uno a otro y, posiblemente, ofrecer un pirateo fácil que no requiere ninguna explotación inteligente.

  • Inyecciones: las bases de datos de back-end SQL, LDAP, etc. requieren consultas para leer / escribir datos y ciertos parámetros de estas consultas (incluso una consulta completa) pueden contener información maliciosa directa del usuario. Una forma sencilla de detener esto es input validation . Hay muchos recursos de estudio sobre esto.

  • Manipulación / alteración de parámetros y solicitudes: XSS, CSRF, reutilización de sesión / secuestro, etc. son básicamente un usuario malintencionado que proporciona una entrada inesperada. Validate every input, every thing para evitar esto fácilmente.

  • Problemas con el servidor web: esto está en el sistema que ejecuta la aplicación web, cualquier configuración incorrecta y los flujos en el proceso del servidor web pueden causar un desbordamiento del búfer, DoS, etc.

respondido por el Kapish M 27.06.2012 - 10:04
fuente

Lea otras preguntas en las etiquetas