使用Tipps编写更安全的Web应用程序

2020-08-27 03:45:13

这篇帖子收集了一些可以极大地提高你的安全性的快速小东西。如果更多的开发人员了解其中的一些资源和提示,我们会有一个更安全的网站。

听说过世界卫生组织的手术安全检查表吗?在他们的研究中,这份清单将患者的发病率降低了近50%1。这一有效性也将适用于WebSecurity。

您会忘记或甚至不知道某些漏洞。我推荐OWASP小抄项目。这个项目的用处是令人难以置信的。对于我自己的一个Web应用程序,我忘了安装CSRF保护,但在Cheatsheet上看到了它们。

或者你至少应该假装是这样。永远不要相信来自用户的任何输入。把他们想象成黑客。

你能限制你的网络应用程序的输入吗?那就去做吧。越严格越好。

这也解释了一些奇怪的事情,比如:你的应用程序接受1 GB的大JSON文件吗?

考虑到奇怪的输入,以下是可能中断某些应用程序的字符串列表。你可以测试这是否也会破坏你的应用程序。

从非安全的角度来看,这也是一个很好的观点。当有什么不对劲的时候,你应该总是知道。

只有当你知道有什么不对劲的时候,你才能把它修好。我将再次推荐一本关于日志记录的OWASP小抄。

如果您注意到安全事件,请对您的用户敞开心扉。不要试图隐瞒什么。

公开这类事件很重要,可以建立信任。在大多数情况下,法律还要求您通知您的用户(GDPR第34条)。

因此,您尽了最大努力保护您的应用程序。最有可能的是,那里仍然会有漏洞。

向他们发出信号,如果他们没有触犯任何法律,你就不会追捕他们。许多安全研究人员很有可能不会搜索或报告漏洞,因为他们害怕法律报复。

简而言之,它规定了允许安全研究人员测试哪些内容,以及在哪里报告这些测试。

Buggroup(最大的漏洞奖励平台之一)提供了一个创建此类策略的框架,并提供了一篇关于负责任的披露策略的更深入的文章。

它基本上是一个文本文件,说明您可以在哪里以及如何披露安全漏洞。您可以通过官方网站轻松创建。

如果失败,则向您报告漏洞的可能性较低。

如果你没有这些,它就像是一个标志,“这里不允许优秀的黑客。”

如果你想阅读更多关于我们为什么需要更多黑客的信息,这里有一篇很棒的文章。

我们需要更多的黑客,需要更多的人意识到这些陷阱。

还有一些技术可以编写更安全的代码。我从Deogun、Johnsson和Sawano那里听到了关于“通过设计确保安全”这本书的好评。

有网站吗?如果你看一下我的新项目,我会很高兴的。

Haynes,A.B.等人。(2009)“降低全球人口发病率和死亡率的外科安全检查清单”,“新英格兰医学杂志”。马萨诸塞州医学会,360(5),第491-499页。DOI:10.1056/NEJMsa0810119。↩︎