Lista de verificación de seguridad del servicio web - Seguimiento y depuración

2

He estado leyendo esta lista de verificación de seguridad sobre el diseño del servicio web:

enlace

Una de las sugerencias es que debe deshabilitar lo siguiente en los entornos de producción:

1) Rastreo

2) Depuración

Ahora sé que tanto el rastreo como la depuración se utilizan para estudiar el flujo del programa con el fin de encontrar errores para poder solucionarlos.

Sé que estos dos deberían estar deshabilitados porque obstaculizarían enormemente el rendimiento del servidor.

Sin embargo, si estos no están deshabilitados, ¿presentan riesgos de seguridad? Por ejemplo, ¿la información de rastreo aún se muestra en la computadora del cliente o se muestra solo en la computadora del servidor? ¿Qué pasa con la información de depuración?

    
pregunta Matthew 14.09.2013 - 16:08
fuente

2 respuestas

3

Sí, los servidores de producción deben presentar poca información fuera del propósito de su diseño al mundo exterior. La visualización de cualquier tipo de información de depuración o rastreo (intencionada o accidental) podría indicar a los piratas informáticos / atacantes dónde localizar un ataque, un cuadro de formulario en particular que puede ser vulnerable y al menos hacer que sea más difícil encontrar una debilidad en su sitio, y en En el peor de los casos, abra una puerta de entrada a cualquier pirata informático que esté familiarizado con el sistema / software en caso de que aparezca un poco de información destacada en la lista de depuración.

Siempre se recomienda el código de producción para ejecutarse con el código de depuración y rastreo desactivado.

Por otro lado, hará que sea más difícil encontrar errores internos si no está realizando una verificación interna y el registro de errores, por eso escribe verificación, recuento de argumentos, verificación de longitud, etc., antes de ejecutar su código en datos que no son de confianza. (del mundo exterior).

La falta de verificación de sus datos es la forma en que los piratas informáticos han acumulado tantos errores de desbordamiento de búfer y se han introducido fácilmente en muchos sitios de forma remota. En caso de que sus cheques detecten algo fuera de lo normal, se debe generar un registro interno (no accesible para el mundo exterior) y enviar un correo electrónico al administrador para indicar que el registro debe verificarse, pero no se debe indicar el problema al fuera del mundo, esto es para evitar alertar a un pirata informático de una posible mina de oro, en lugar de continuar el proceso como si todo fuera normal, incluso si no procesa los datos, el pirata informático lo descartará como nada interesante.

    
respondido por el Joshua Briefman 15.09.2013 - 05:08
fuente
1

Al lado de las explicaciones de joshuas, también hay rendimiento: razones para tener que depurar en prod-systems, ya que todas las informaciones de depuración deben escribirse y almacenarse, activar la depuración aumenta la presión en su sistema de almacenamiento / archivos.

hablando de servidores web, si escribe ~ 1 GB habitual access.log cada día, escribirá fácilmente de 3 a 10 GB cuando active el registro de depuración para sus servidores web.

    
respondido por el that guy from over there 16.09.2013 - 07:14
fuente

Lea otras preguntas en las etiquetas