Lista de verificación de seguridad del sitio web?

Navega tus respuestas
3

Estoy creando un servicio web (un panel de control para clientes) (PHP en linux apache) y estoy intentando desde el diseño hacerlo lo más seguro posible,

¿Alguien me puede proporcionar algún tipo de lista de verificación de las cosas en las que necesito concentrarme?

Ya implementé:

  1. protección SQLi,
  2. por token CSRF de sesión,
  3. almacenamiento seguro de hashing de contraseñas en la base de datos con php 5.5 password_hash (con la comprobación de need_rehash),
  4. se agregó recaptcha para todos los robots de spam,

  5. administrador de sesiones para el usuario (vea quién inició sesión en mi cuenta y

    cerrar sesiones remotas & alerta si alguien accedió a mi cuenta).

    1. Certificado SSL, comunicación completa a través de HTTPS. (Redirecciono todos los http - > https)

Preguntas:

  1. ¿Necesito algún tipo de sistema de prohibición de IP?

  2. Error al prohibir el inicio de sesión de IP & logging?

  3. ¿Alguna modificación de seguridad de linux-server? No he modificado nada todavia

  4. ¿Cómo protejo mi sitio web de todos los robots / arañas de spam? identificar & ban

Será útil si alguien puede probar una guía / lista de verificación para todos los puntos de seguridad de un sitio web, para revisar / asegurar uno por uno ...

Creo que mi servicio es más seguro entonces ... pero claramente no va a cambiar el hecho de que hay personas capacitadas en el chat que pueden piratear cualquier cosa ... - Quiero convertirlo en un desafío si alguien Intente jugar con mi sistema ... Quiero un servicio de sitio web que sea más seguro que otros.

    
pregunta itai 24.04.2015 - 11:20
fuente

2 respuestas

3

Para responder directamente a sus preguntas:

  

¿Necesito algún tipo de sistema de auto ban ip?   inicio de sesión fallido ip banning & logging?

Sí, no intentes reinventar nada y usa fail2ban (solo una buena expresión de expresión regular y estás protegido)

  

¿Alguna modificación de seguridad de linux-server? No he modificado nada todavia

Recomendaría selinux con dominios y todo eso, pero es bastante difícil. Un buen firewall, tcpwrappers y actualizaciones deberían ser suficientes.

  

¿Cómo protejo mi sitio web de todos los robots / arañas de spam? identificar & ban

  1. Captcha como sistema está bien.
  2. Compruebe el remitente
  3. Use javascript antes de enviar.
  4. enlace

Como lista de verificación, le recomiendo los 10 primeros OWASP ( enlace ). Si desea más detalles, obtenga el Libro de Cheatsheets de OWASP: enlace

En cuanto a las opciones de seguridad en el lado del servidor, también recomiendo:

  1. WAF (mod_security + conjunto de reglas OWASP) será esencial en su aplicación web.
  2. Servidor web Chroot.
  3. Ocultar la firma del servidor web
  4. Deshabilitar listado de directorios
  5. Use mod_evasive (agains DOS)
  6. Desactiva Server Side Include y CGI Execution si no los usas.
  7. Desinstala todo lo que no es necesario.
  8. Forzarse y no instalar nada de las fuentes, será más difícil de actualizar.

Buena suerte.

    
respondido por el Sacx 24.04.2015 - 14:51
fuente
1

Las listas de verificación en general son un buen lugar para iniciar una conversación sobre seguridad. El top ten de OWSAP es bastante bueno.

Pero es casi imposible diseñar un sistema de seguridad para ti sin saber lo que estás haciendo, lo que estás tratando de proteger y de quién estás tratando de protegerlo. Un banco necesita una seguridad diferente de un almacén de destino, por ejemplo.

Diseñar un sistema de seguridad completo está más allá del alcance de una pregunta aquí. Mi consejo es contratar a alguien con experiencia en diseño de seguridad y que pueda guiarlo a través de ese proceso. Si está comenzando la conversación solicitando listas de verificación, claramente necesita ayuda con más experiencia.

    
respondido por el Steve Sether 24.04.2015 - 17:22
fuente

Lea otras preguntas en las etiquetas

¿Es importante usar un hash lento en htpasswd? ¿Es más segura la información de esquema de hashing para el cliente al generar consultas SQL?