Como minimizar riscos de segurança Web para evitar ser cortado
Mantendo suas aplicações web seguro requer vigilância constante em seus esforços de hacking ético e por parte de seus desenvolvedores web e fornecedores. Manter-se com as últimas hacks, ferramentas de teste e técnicas e deixar seus desenvolvedores e fornecedores sabem que a segurança deve ser uma prioridade para a sua organização.
Você pode ganhar hands-on testes de experiência e de hacking aplicações web usando os seguintes recursos diretos:
segurança por obscuridade prática
As seguintes formas de segurança por obscuridade - escondendo algo de vista óbvio usando métodos triviais - pode ajudar a prevenir ataques automatizados de vermes ou scripts que são codificados para atacar tipos de script específicos ou portas HTTP padrão:
Para proteger aplicações web e bancos de dados relacionados, utilizar máquinas diferentes para executar cada, aplicação e servidor de banco de dados do servidor web.
Os sistemas operacionais nessas máquinas individuais devem ser testadas para vulnerabilidades de segurança e endureceu com base nas melhores práticas.
Usar os recursos de segurança do servidor built-in web para lidar com controles de acesso e de isolamento do processo, tais como o recurso de aplicativo de isolamento no IIS. Essa prática ajuda a garantir que, se uma aplicação web é atacado, ele não vai necessariamente colocar todas as outras aplicações em execução no mesmo servidor em risco.
Use uma ferramenta para obscurecer a identidade do seu servidor web - essencialmente tornar anônimos seu servidor. Um exemplo é ServerMask da porta 80 Software.
Se você estiver preocupado com ataques específicos da plataforma que está sendo realizada contra a sua aplicação web, você pode enganar o atacante em pensar que o servidor web ou sistema operacional é algo completamente diferente. Aqui estão alguns exemplos:
Se você estiver executando um servidor e aplicações Microsoft IIS, você pode renomear todos os seus scripts ASP para ter um .cgi extensão.
Se você estiver executando um servidor web Linux, use um programa como o Personalidade IP para mudar a impressão digital OS para que o sistema parece que está executando outra coisa.
Alterar a sua aplicação web para rodar em uma porta fora do padrão. Mudança da porta HTTP padrão 80 ou HTTPS porta 443 para um número alto de porta, como 8877, e, se possível, definir o servidor para ser executado como um usuário sem privilégios - isto é, algo diferente de sistema, administrador, raiz, e assim em.
Nunca sempre confiar na obscuridade sozinho- não é infalível. Um atacante dedicado pode determinar que o sistema não é o que diz ser. Ainda assim, mesmo com os opositores, que pode ser melhor do que nada.
Coloque-se firewalls
Considere o uso de controles adicionais para proteger seus sistemas web, incluindo o seguinte:
Um firewall baseado em rede ou IPS que pode detectar e bloquear ataques contra aplicações web. Isso inclui firewalls comerciais e Next-Generation IPSs disponíveis a partir de empresas como a SonicWall, check Point, e Sourcefire.
A IPS aplicativos web baseados em host, tal como SecureIIS ou ServerDefender.
Estes programas podem detectar aplicação web e certos ataques de banco de dados em tempo real e cortá-los antes que eles tenham uma chance de fazer qualquer dano.
Analisar o código-fonte
desenvolvimento de software é o lugar onde as falhas de segurança começam e devemos acabar, mas raramente o fazem. Se você se sentir confiante em seus esforços de hacking ético a este ponto, você pode cavar mais fundo para encontrar falhas de segurança em seu código-fonte - coisas que nunca pode ser descoberto por scanners tradicionais e técnicas de hacking, mas que são problemas, no entanto. Não temais!
Na verdade, é muito mais simples do que parece. Não, você não terá que passar pelo código linha por linha para ver o que está acontecendo. Você não precisa mesmo de experiência em desenvolvimento (embora não ajuda).
Para fazer isso, você pode usar uma ferramenta de análise de código fonte estático, como os oferecidos pela Veracode e Checkmarx. CxSuite de Checkmarx (mais especificamente CxDeveloper) é uma ferramenta autônoma que a preços razoáveis e muito abrangente em seu teste de ambas as aplicações web e aplicativos móveis.
Com CxDeveloper, basta carregar o Enterprise Client, faça o login para o aplicativo (as credenciais padrão são admin @ cx / admin), Execute o Assistente de Análise Criar para apontá-lo para o código-fonte e selecione a sua política de varredura, clique em Avançar, clique em Executar, e você está fora e correndo.
Quando a verificação for concluída, você pode rever os resultados e as soluções recomendadas.
CxDeveloper é praticamente tudo que você precisa para analisar e elaborar relatórios sobre vulnerabilidades em sua C #, Java e código-fonte móvel reunido em um pacote simples. Checkmarx, como Veracode, também oferece um serviço de análise de código fonte baseado em nuvem. Se você pode superar quaisquer obstáculos associados com o upload do seu código-fonte para um terceiro, estes podem oferecer uma opção mais eficiente e, principalmente, com as mãos livres para análise de código fonte.
análise de código fonte, muitas vezes, descobrir falhas diferentes do que os testes tradicionais de segurança web. Se quiser que o nível mais abrangente de testes, fazer as duas coisas. A nível extra de cheques oferecidos pela análise da fonte está se tornando cada vez mais importante com aplicativos móveis. Estas aplicações estão frequentemente cheios de falhas de segurança que muitos desenvolvedores de software mais recentes não aprenderiam na escola.
A linha de fundo com segurança na web é que, se você pode mostrar seus desenvolvedores e analistas de garantia de qualidade que a segurança começa com eles, você pode realmente fazer a diferença na segurança global de informação da sua organização.