¿Cómo asegurarme de que mi aplicación web esté protegida? [cerrado]

Para hacer este comentario: nunca puedes estar 100% seguro. Pero puedes:

• Use escáneres de vulnerabilidades (con credenciales y sin credenciales) regularmente (¿todas las semanas?) para asegurarse de que las vulnerabilidades públicas hayan sido parcheadas y que no haya abierto accidentalmente su servidor web al mundo exterior. Intente usar OpenVAS o Nessus (o cualquier otro) para el análisis de vulnerabilidades. Intente usar OWASP ZAP de vez en cuando para ver si tiene alguna vulnerabilidad de Internet
• Ejecute el escáner SSLlabs en su sitio todos los meses para asegurarse de que todavía está actualizado con el cifrado
• Ejecuta tu código a través de un escáner de código fuente (¿alguien puede decir cuál es fácil y bueno?)
• Piense en los procesos seguros que se ejecutarán al administrar su sitio web. Entonces, ¿cómo se trabaja con contraseñas y autorizaciones (no sé si tiene empleados)?
• Tome la guía de pruebas de OWASP e intente ejecutarla usted mismo. Consulte también las hojas de trucos de OWASP para administrar y desarrollar su sitio web y sus servicios web
• Contrate a una compañía de pentesting una vez al año para hacer una "vez más" real para ver si tiene vulnerabilidades que usted y los escáneres automáticos no tienen la experiencia para encontrar (principalmente en lógica empresarial y más vulnerabilidades en profundidad)

Supongo que aquí no eres un profesional de seguridad, por lo que no puedes hacer todo por ti mismo. Pero creo que si hace uso de escáneres automáticos y contrata pentesters una vez al año, estará lo más seguro posible en circunstancias normales. Si no tiene dinero para los pentesters, tendrá que intentar hacer la mayoría de las cosas usted mismo (¡la guía de pruebas de OWASP es una verdadera ayuda!). Si tiene un montón de dinero, debe contratar a un profesional de seguridad para que lo ayude constantemente a mejorar la seguridad de su organización.

En mi opinión, el mejor método es realizar un pentest. El pirateo ético realizado por profesionales le dará los defectos de su sitio web.

De todos modos, algunos controles comunes son:

• ¿Tiene su sitio web ssl con un buen certificado?

Me refiero a un certificado hecho por una entidad autorizada, no un certificado autofirmado.

• ¿Tiene HSTS activado?

Esto es para redirigir automáticamente a los clientes que solicitan la página en plano (http) a la versión segura (https).

• ¿Mi sitio web tiene encabezados de seguridad?

Las protecciones habituales contra clickjacking, XSS y otros. Marque esto: enlace

• ¿Está seguro de que el contenido que se muestra es el contenido que desea mostrar?

Compruebe si hay archivos "residuales" en las carpetas navegables del servidor. Verifique si no se puede acceder directamente a la parte privada del sitio web mediante una URL que omita el inicio de sesión ... todas las comprobaciones básicas.

• ¿Está seguro de que la versión y la tecnología de su servidor están actualizadas?

Por lo general, las versiones antiguas de cualquier servidor web o tecnología (Apache, php, wordpress, nginx, etc.) son vulnerables a algunos ataques.

• ¿Tiene algún tipo de protección contra DoS?

En su caso, si el sitio web está alojado en AWS, puede hablar con su proveedor (Amazon) para este servicio.

• Ejecute un análisis SAST en su código usando una herramienta de escáner de código fuente. < - Agregué esto para responder a Wealog preguntando esto en su respuesta.

Checkmarx es una muy buena opción pero es caro. HP Fortify puede hacer el trabajo también, pero también es caro. Para aplicaciones móviles hay algunas soluciones gratuitas como androbugs, drozer o mobsf. Para otro tipo de aplicaciones, no conozco una buena herramienta gratis.

Esto puede ser válido para comenzar. Pero recuerda, pentest es la clave en mi opinión.