Como minimizar os riscos de segurança web para evitar ser hackeado
Mantendo suas aplicações web seguro requer vigilância constante em seus esforços de hacking ético e por parte de seus desenvolvedores web e fornecedores. Manter-se com as últimas hacks, ferramentas de teste e técnicas e deixar seus desenvolvedores e fornecedores sabem que a segurança deve ser uma prioridade para sua organização.
Conteúdo
Você pode ganhar hands-on testes de experiência e de hackers aplicações Web usando os seguintes recursos diretos:
segurança por obscuridade prática
As seguintes formas de segurança por obscuridade - escondendo algo de vista óbvio usando métodos triviais - pode ajudar a prevenir ataques automatizados de vermes ou scripts que são codificados para atacar tipos de script específicos ou portas HTTP padrão:
Para proteger aplicações web e bancos de dados relacionados, usar máquinas diferentes para executar cada, aplicação e servidor de banco de dados do servidor web.
Video: Como proteger seu Whatsapp de Espionagem
Os sistemas operacionais nessas máquinas individuais devem ser testadas para vulnerabilidades de segurança e endureceu com base nas melhores práticas.
Use os recursos de segurança do servidor Web embutida para lidar com controles de acesso e de isolamento do processo, tais como o recurso de aplicativo-isolamento no IIS. Essa prática ajuda a garantir que, se uma aplicação web é atacado, ele não vai necessariamente colocar quaisquer outros aplicativos em execução no mesmo servidor em risco.
Use uma ferramenta para obscurecer a identidade do seu servidor web - essencialmente tornar anônimos seu servidor. Um exemplo é ServerMask da porta 80 Software.
Se você estiver preocupado com ataques específicos da plataforma está sendo realizada contra a sua aplicação web, você pode enganar o atacante em pensar que o servidor web ou sistema operacional é algo completamente diferente. Aqui estão alguns exemplos:
Se você estiver executando um servidor e aplicações Microsoft IIS, você pode renomear todos os seus scripts ASP para ter um .cgi extensão.
Se você estiver executando um servidor web Linux, use um programa como Personalidade IP para mudar a impressão digital OS para que o sistema se parece com ele está correndo outra coisa.
Mude sua aplicação web para rodar em uma porta fora do padrão. Mudança da porta HTTP padrão 80 ou HTTPS porta 443 para um número alto de porta, como 8877, e, se possível, definir o servidor para ser executado como um usuário sem privilégios - isto é, algo diferente de sistema, administrador, raiz, e assim em.
Video: COMO EVITAR QUE SEU CANAL SEJA HACKEADO
Nunca sempre contar com obscuridade sozinho- não é infalível. Um atacante dedicado pode determinar que o sistema não é o que afirma ser. Ainda assim, mesmo com os opositores, que pode ser melhor do que nada.
Coloque-se firewalls
Considere o uso de controles adicionais para proteger seus sistemas web, incluindo o seguinte:
Um firewall baseado em rede ou IPS que pode detectar e bloquear ataques contra aplicações web. Isto inclui firewalls comerciais e Next-Generation IPSs disponíveis a partir de empresas como a SonicWall, check Point, e Sourcefire.
A IPS aplicativos web baseados em host, tal como SecureIIS ou ServerDefender.
Video: Como acessar a Deep Web com segurança - Vídeo Tutorial
Estes programas podem detectar aplicativo web e certos ataques de banco de dados em tempo real e cortá-los antes que eles tenham a chance de fazer algum mal.
Analisar o código fonte
desenvolvimento de software é onde falhas de segurança começam e devemos acabar, mas raramente o fazem. Se você se sentir confiante em seus esforços de hacking ético a este ponto, você pode cavar mais fundo para encontrar falhas de segurança em seu código-fonte - coisas que nunca pode ser descoberto por scanners tradicionais e técnicas de hacking, mas que são problemas, no entanto. Não tenha medo!
Na verdade, é muito mais simples do que parece. Não, você não terá que passar pelo código linha por linha para ver o que está acontecendo. Você não precisa mesmo de experiência em desenvolvimento (embora não ajuda).
Para fazer isso, você pode usar uma ferramenta de análise de código fonte estático, como os oferecidos pela Veracode e Checkmarx. CxSuite de Checkmarx (mais especificamente CxDeveloper) é uma ferramenta autônoma que a preços razoáveis e muito abrangente em seu teste de ambas as aplicações web e aplicativos móveis.
Video: Como Evitar de Ser Hackeado
Com CxDeveloper, você simplesmente carregar o Enterprise Client, faça o login para o aplicativo (credenciais padrão são admin @ cx / admin), Execute o Assistente de Análise Criar para apontá-lo para o código-fonte e selecione a sua política de varredura, clique em Avançar, clique em Executar, e você está fora e correndo.
Quando a verificação for concluída, você pode revisar os resultados e as soluções recomendadas.
CxDeveloper é praticamente tudo que você precisa para analisar e informar sobre vulnerabilidades em seu C #, Java e código fonte móvel empacotados em um pacote simples. Checkmarx, como Veracode, também oferece um serviço de análise de código fonte baseado em nuvem. Se você pode superar quaisquer obstáculos associados com o upload do seu código-fonte para um terceiro, estes podem oferecer uma opção mais eficiente e, principalmente, com as mãos livres para análise de código fonte.
análise de código fonte, muitas vezes, descobrir falhas diferentes do que os testes tradicionais de segurança web. Se quiser que o nível mais abrangente de testes, fazer as duas coisas. A nível extra de cheques oferecidos pela análise fonte está se tornando cada vez mais importante com aplicativos móveis. Estas aplicações são muitas vezes cheio de buracos de segurança que muitos desenvolvedores de software mais recentes não aprender sobre na escola.
A linha de fundo com segurança na web é que se você pode mostrar a seus desenvolvedores e analistas de garantia de qualidade que a segurança começa com eles, você pode realmente fazer a diferença na segurança global de informação da sua organização.