繁体   English   中英

应考虑应用程序安全问题

[英]Application security issues to consider

我正在设计高安全性应用程序(涉及财务信息,个人信息等)。 我需要确定将实施哪些安全措施(应用程序级别)。 该应用程序将涉及从数据库发送数据,用户登录,导入导出到csv,txt文件和打印功能。

我需要为此类应用程序考虑哪些安全功能。 (初学者的SQL注入)?

另外,如果我想确保合法用户在页面之间移动,我是否必须检查每个页面if (UserLogin.IsValid)等? 这可能需要一些我猜的太多服务器命中。

首先要做的是构建威胁模型 只有在您了解之后:

  • 受保护的资源是什么?
  • 那些暴露他们攻击的资源有哪些漏洞?
  • 攻击者的动机是什么?
  • 攻击者构成什么威胁?

你能合理地开始制定解决方案吗? 例如,如果资源是我的电视,那么漏洞就是一个开放的窗口,攻击者有动机获取经济利益,而他们构成的威胁是我的电视被盗,然后我就可以开始制定解决方案了。

考虑一下在您拥有资源,漏洞,动机和威胁列表后变得明显的多管齐下的解决方案。 我可以:

  • 使漏洞更难利用:关闭并锁定窗口,发出警报,获得牢不可破的玻璃
  • 使资源对攻击者的价值降低,从而使他们失去动力:购买更便宜,更重的电视
  • 使我对资源的损失降低成本:购买保险
  • 等等。

请注意,一个好的解决方案具有深度防御 不要只是停在那里。 寻找更多漏洞。 寻找更多使攻击者失去动力的方法。 寻找更多降低成功攻击成本的方法。 但所有这一切都取决于拥有准确的威胁模型,所以首先要这样做。

这里有一些资源可以帮助您入门:

http://www.microsoft.com/security/sdl/getstarted/threatmodeling.aspx

引用的https://stackoverflow.com/questions/72394链接是一个良好的开端。 但是,您需要更进一步。

具体来说,加密所有级别的所有数据。 在途中通过ssl(我说最小4KB密钥长度)。 静止时通过加密文件系统和加密数据库。 例如,MS SQL Server允许您加密整个数据库,而不仅仅是密码。

不要使用内联sql,坚持使用存储过程。 如果你正确地逃避了事情,我不在乎。 内联sql意味着您在某处打开密码(通常在配置文件中),这允许应用程序执行它想要的任何 SQL调用。 如果您的网络应用程序被破解,他们将拥有完全访问权限。

通过将您的网站限制为仅执行存储过程会增加进行质量选择/删除/任何操作的难度。 此外,您可以在执行任何操作之前首先检查作为参数传入的凭据,从而在s'procs本身旁边强制执行安全模型。 这让数据库保护自己,暗示你甚至不相信自己的网络服务器。

确保您的服务器受到物理保护。 我看到盒子变黑了,当有人检查时,他们发现了服务器所在的空白点。 通过视频监控安全访问将有所帮助。

另外,记录一切。 谁访问了什么,在登录尝试时使用了什么ip等等。当客户端调用并询问“记录X时发生了什么?”时,这很好。 我说“根据日志,比尔史密斯在4月3日从他家中删除了它。”

接下来,研究入侵检测系统。 它们监视流入的流量,根据流量类型对其进行解析,并且通常可以在有趣的事情发生时提醒您,例如登录尝试失败到sql server。

测试重放攻击,也称为会话劫持。 在每个帖子上确认的cookie值中加入一个标记。 确认后,将令牌更改为不可猜测的值。 重复直到用户注销。 每当你看到不匹配的令牌时,让应用程序大声尖叫。

确保服务器到服务器的通信也是加密的。 如果在Windows上,这意味着设置好的域策略,在线路上强制执行kerberos加密。 我曾经去过几个地方,在那里我提出了一个能够并且能够轻松嗅探从数据库和电子邮件密码到实际的sql事务和响应的所有内容。 沿着这些方向,确保正确配置所涉及的所有路由器。 作为旁注,向首席执行官展示他在审计15分钟后的电子邮件密码是证明需要进行安全审计的一种方法。

最后,当您完成并准备部署外部和信誉良好的公司(如IBM)进行全面的安全审计,包括PEN(渗透)测试。 我现在没有,也没有为IBM工作过。 但是,我看到他们编写的一些报告。 他们是彻底的。

初步想法很少:

  • 对所有SQL操作(即帐户)使用最小权限
  • 在任何表单提交的数据上使用正确的HTMLDecode / URLDecode
  • 加密所有Web配置
  • 安全检查环境
  • 检查/思考社交工程(黑客)的可能性
  • 考虑内部安全操作,即开发人员的安全性

我的安全链接建议您阅读:

  1. http://msdn.microsoft.com/en-us/library/ms998375.aspx
  2. http://msdn.microsoft.com/en-us/library/bb355989.aspx
  3. http://www.cyphersec.com/
  4. http://msdn.microsoft.com/en-us/library/aa302426.aspx
  5. http://msdn.microsoft.com/en-us/magazine/dd347546.aspx#id0070044
  6. http://weblogs.asp.net/scottgu/archive/2006/08/12/Tip_2F00_Trick_3A00_-Show-Detailed-Error-Messages-to-Developers.aspx

你提到了SQL注入攻击。 避免SQL注入攻击的最可靠的方法是通过存储过程对应用程序中的数据库进行任何和所有调用,并且只通过参数调用这些过程。 确保您的存储过程不在任何地方使用动态SQL,因为这也打开了SQL注入的大门。 同样可以肯定LINQ to SQL还提供了针对攻击的安全性。

编辑:当我谈到动态SQL时,我并不是在你的源代码中,因为这会隐含地违反我的LINQ建议。 我的意思是不要在你的存储过程中构造一个SQL语句并动态执行它,因为即使擦除了过程本身的参数,这也会使注入攻击的大门敞开。

你必须测试一切 第一步是在软件开发中使用漏洞扫描程序 您应该在开发期间定期运行扫描,这将在出现问题时识别问题,并且您可以让开发人员对缺陷负责,希望他们不会再次编写。

问题总会在裂缝中滑落。 确保穿透测试仪更高。 我可以告诉你,作为该领域的钢笔测试员,这是阻止你的系统在现实世界中拥有的最有效手段。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM