Πίνακας περιεχομένων:
- - κρύβουν κάτι από την προφανή όψη με τη χρήση ασήμαντων μεθόδων - μπορεί να βοηθήσει στην αποτροπή αυτοματοποιημένων επιθέσεων από σκουλήκια ή δέσμες ενεργειών που έχουν κωδικοποιηθεί σκληρά για να επιτεθούν συγκεκριμένοι τύποι σεναρίων ή προεπιλεγμένες θύρες
- Περιλαμβάνονται τα εμπορικά τείχη προστασίας και τα IPS επόμενης γενιάς που διατίθενται από εταιρείες όπως οι SonicWall, Check Point και Sourcefire.
- , αλλά σπάνια. Εάν αισθάνεστε σίγουροι για τις προσπάθειές σας για ηθική hacking σε αυτό το σημείο, μπορείτε να ψάξετε βαθύτερα για να εντοπίσετε σφάλματα ασφαλείας στον πηγαίο κώδικα σας - πράγματα που ποτέ δεν θα μπορούσαν να ανακαλυφθούν από τους παραδοσιακούς σαρωτές και τις τεχνικές hacking, αλλά αυτά είναι προβλήματα. Μη φοβάσαι!
Βίντεο: 30 полезных автотоваров с Aliexpress, которые упростят жизнь любому автовладельцу №21 2024
Η διατήρηση των εφαρμογών ιστού σας απαιτεί συνεχή επαγρύπνηση στις προσπάθειές σας για ηθική hacking και από μέρους των προγραμματιστών και των πωλητών σας στο διαδίκτυο. Παρακολουθήστε τα πιο πρόσφατα χάky, εργαλεία δοκιμών και τεχνικές και αφήστε τους προγραμματιστές και τους πωλητές σας να γνωρίζουν ότι η ασφάλεια πρέπει να αποτελεί κορυφαία προτεραιότητα για τον οργανισμό σας.
Μπορείτε να αποκτήσετε απευθείας δοκιμές εμπειρίας hands-on και hacking web εφαρμογές χρησιμοποιώντας τους ακόλουθους πόρους:
Οι ακόλουθες μορφές
ασφάλειας από την ασάφεια
- κρύβουν κάτι από την προφανή όψη με τη χρήση ασήμαντων μεθόδων - μπορεί να βοηθήσει στην αποτροπή αυτοματοποιημένων επιθέσεων από σκουλήκια ή δέσμες ενεργειών που έχουν κωδικοποιηθεί σκληρά για να επιτεθούν συγκεκριμένοι τύποι σεναρίων ή προεπιλεγμένες θύρες
Για να προστατεύσετε εφαρμογές ιστού και σχετικές βάσεις δεδομένων, χρησιμοποιήστε διαφορετικά μηχανήματα για την εκτέλεση κάθε εξυπηρετητή ιστού, εφαρμογής και διακομιστή βάσης δεδομένων.
-
Χρησιμοποιήστε ενσωματωμένες δυνατότητες ασφαλείας διακομιστή ιστού για να χειριστείτε στοιχεία ελέγχου πρόσβασης και απομόνωση διεργασιών, όπως η δυνατότητα απομόνωσης εφαρμογών στην υπηρεσία IIS. Αυτή η πρακτική βοηθάει να διασφαλιστεί ότι εάν μια εφαρμογή Ιστού επιτεθεί, δεν θα είναι απαραίτητα να θέσει σε κίνδυνο άλλες εφαρμογές που εκτελούνται στον ίδιο διακομιστή.
Χρησιμοποιήστε ένα εργαλείο για να αποκρύψετε την ταυτότητα του διακομιστή σας - ουσιαστικά ανώνυμα του διακομιστή σας. Ένα παράδειγμα είναι το ServerMask του Port 80 Software.
-
Αν ανησυχείτε για επιθέσεις συγκεκριμένης πλατφόρμας που πραγματοποιούνται κατά της εφαρμογής σας στο διαδίκτυο, μπορείτε να εξαπατήσετε τον εισβολέα να σκεφτεί ότι ο διακομιστής ιστού ή το λειτουργικό σύστημα είναι κάτι εντελώς διαφορετικό. Ακολουθούν ορισμένα παραδείγματα:
Εάν εκτελείτε διακομιστή Microsoft IIS και εφαρμογές, μπορείτε να μετονομάσετε όλες τις δέσμες ενεργειών ASP για να έχετε ένα. cgi επέκταση. -
Εάν εκτελείτε έναν διακομιστή ιστού Linux, χρησιμοποιήστε ένα πρόγραμμα όπως η Προσωπικότητα ΙΡ για να αλλάξετε το αποτύπωμα του λειτουργικού συστήματος, ώστε το σύστημα να μοιάζει να τρέχει κάτι άλλο.
-
Αλλαγή της εφαρμογής web σας για να τρέξει σε μια μη τυπική θύρα. Αλλάξτε από την προεπιλεγμένη θύρα HTTP 80 ή τη θύρα HTTPS 443 σε έναν υψηλό αριθμό θύρας, όπως το 8877, και εάν είναι δυνατόν, ρυθμίστε το διακομιστή ώστε να λειτουργεί ως χρήστης που δεν είναι προνομιούχος - δηλαδή, κάτι διαφορετικό από το σύστημα, το διαχειριστή, το root και ούτω καθεξής επί.
-
Ποτέ
-
-
δεν βασίζονται αποκλειστικά στην αφάνεια. δεν είναι ανόμοια. Ένας εξειδικευμένος εισβολέας μπορεί να διαπιστώσει ότι το σύστημα δεν είναι αυτό που ισχυρίζεται ότι είναι.Ακόμα, ακόμη και με τους απίστευτους, μπορεί να είναι καλύτερο από τίποτα.
Εγκαταστήστε firewalls Εξετάστε τη χρήση πρόσθετων στοιχείων ελέγχου για την προστασία των συστημάτων σας στο Web, συμπεριλαμβανομένων των παρακάτω: Ένα τείχος προστασίας μέσω δικτύου ή το IPS που μπορεί να ανιχνεύσει και να εμποδίσει επιθέσεις κατά εφαρμογών ιστού.
Περιλαμβάνονται τα εμπορικά τείχη προστασίας και τα IPS επόμενης γενιάς που διατίθενται από εταιρείες όπως οι SonicWall, Check Point και Sourcefire.
Μια εφαρμογή Ιστού βασισμένη στον κεντρικό υπολογιστή IPS,
-
όπως SecureIIS ή ServerDefender. Αυτά τα προγράμματα μπορούν να ανιχνεύσουν εφαρμογές ιστού και συγκεκριμένες επιθέσεις βάσεων δεδομένων σε πραγματικό χρόνο και να τα κόψουν προτού να έχουν την ευκαιρία να κάνουν οποιαδήποτε βλάβη.
-
Αναλύστε τον πηγαίο κώδικα Η ανάπτυξη λογισμικού είναι όπου οι τρύπες ασφαλείας αρχίζουν και το
θα πρέπει να τελειώσει
, αλλά σπάνια. Εάν αισθάνεστε σίγουροι για τις προσπάθειές σας για ηθική hacking σε αυτό το σημείο, μπορείτε να ψάξετε βαθύτερα για να εντοπίσετε σφάλματα ασφαλείας στον πηγαίο κώδικα σας - πράγματα που ποτέ δεν θα μπορούσαν να ανακαλυφθούν από τους παραδοσιακούς σαρωτές και τις τεχνικές hacking, αλλά αυτά είναι προβλήματα. Μη φοβάσαι!
Είναι πραγματικά πολύ απλούστερο από αυτό που ακούγεται. Όχι, δεν θα χρειαστεί να περάσετε από τη γραμμή κώδικα κατά γραμμή για να δείτε τι συμβαίνει. Δεν χρειάζεστε καν εμπειρία ανάπτυξης (αν και βοηθάει). Για να γίνει αυτό, μπορείτε να χρησιμοποιήσετε ένα εργαλείο στατικής ανάλυσης πηγαίου κώδικα, όπως αυτές που προσφέρονται από Veracode και Checkmarx. Το CxSuite του Checkmarx (πιο συγκεκριμένα το CxDeveloper) είναι ένα αυτόνομο εργαλείο που έχει λογικές τιμές και είναι πολύ περιεκτικό σε δοκιμές τόσο των εφαρμογών όσο και των εφαρμογών για κινητά. Με το CxDeveloper, απλά φορτώστε το Enterprise Client, συνδεθείτε στην εφαρμογή (τα προεπιλεγμένα διαπιστευτήρια είναι admin @ cx / admin), εκτελέστε τον Οδηγό δημιουργίας σάρωσης για να τον δείξετε στον πηγαίο κώδικα και να επιλέξετε την πολιτική σάρωσης, κάντε κλικ στο κουμπί Εκτέλεση και είστε εκτός λειτουργίας.
Όταν ολοκληρωθεί η σάρωση, μπορείτε να ελέγξετε τα ευρήματα και τις προτεινόμενες λύσεις.
Το CxDeveloper είναι λίγο πολύ μόνο που χρειάζεται να αναλύσετε και να αναφέρετε τα τρωτά σημεία του πηγαίου κώδικα C #, Java και του κινητού σας, που περιλαμβάνονται σε ένα απλό πακέτο. Το Checkmarx, όπως και το Veracode, προσφέρει επίσης υπηρεσία ανάλυσης πηγαίου κώδικα με βάση το σύννεφο. Εάν μπορείτε να ξεπεράσετε τυχόν εμπόδια που σχετίζονται με τη μεταφόρτωση του πηγαίου κώδικα σε τρίτο μέρος, αυτά μπορούν να προσφέρουν μια πιο αποτελεσματική και ως επί το πλείστον hands-free επιλογή για ανάλυση πηγαίου κώδικα.
Η ανάλυση πηγαίου κώδικα συχνά αποκαλύπτει διαφορετικές ατέλειες από τις παραδοσιακές δοκιμές ασφάλειας ιστού. Αν θέλετε το πιο ολοκληρωμένο επίπεδο δοκιμών, κάντε και τα δύο. Το επιπλέον επίπεδο ελέγχων που προσφέρονται από την ανάλυση πηγών γίνεται ολοένα και πιο σημαντικό με τις εφαρμογές για κινητά. Αυτές οι εφαρμογές είναι συχνά γεμάτες τρύπες ασφαλείας που πολλοί νεότεροι προγραμματιστές λογισμικού δεν έμαθαν στο σχολείο.
Η κατώτατη γραμμή με την ασφάλεια ιστού είναι ότι εάν μπορείτε να δείξετε στους προγραμματιστές και τους αναλυτές της διασφάλισης της ποιότητας ότι η ασφάλεια ξεκινά με αυτές, μπορείτε πραγματικά να κάνετε τη διαφορά στη συνολική ασφάλεια των πληροφοριών του οργανισμού σας.
