Innholdsfortegnelse:
Video: 5 ting du bør huske på ved ansettelser 2025
Å holde webapplikasjonene dine sikre krever kontinuerlig årvåkenhet i dine etiske hackingsinnsatser og hos webutviklere og leverandører. Fortsett med de nyeste hackene, testverktøyene og teknikkene, og la utviklere og leverandører vite at sikkerheten må være en topp prioritet for organisasjonen din.
Du kan få direkte praktisk erfaringstesting og hacking av webapplikasjoner ved å bruke følgende ressurser:
OWASP webgodeprosjekt
Foundstone's Hacme Tools
Øv sikkerheten ved uklarhet
Følgende former for sikkerhet ved uklarhet - gjemmer noe fra åpenbar visning ved hjelp av trivielle metoder - kan bidra til å forhindre automatiserte angrep fra ormer eller skript som er hardkodede for å angripe bestemte skripttyper eller standard
-
For å beskytte webapplikasjoner og tilhørende databaser, bruk forskjellige maskiner for å kjøre hver webserver, applikasjon og databaseserver.
Operativsystemene på disse individuelle maskinene bør testes for sikkerhetsproblemer og herdet basert på beste praksis.
-
Bruk innebygde sikkerhetsfunksjoner for webserver til å håndtere tilgangskontroller og behandle isolasjon, for eksempel applikasjonsisoleringsfunksjonen i IIS. Denne praksisen bidrar til å sikre at hvis en webapplikasjon blir angrepet, vil det ikke nødvendigvis sette andre programmer på samme server i fare.
-
Bruk et verktøy for å skjule webserverens identitet - i hovedsak anonymisere serveren din. Et eksempel er Port 80 Software ServerMask.
-
Hvis du er bekymret for at plattformsspesifikke angrep blir utført mot webapplikasjonen din, kan du lure angriperen til å tro at webserveren eller operativsystemet er noe helt annet. Her er noen eksempler:
-
Hvis du kjører en Microsoft IIS-server og applikasjoner, kan du omdøpe alle ASP-skriptene dine for å ha en. cgi forlengelse.
-
Hvis du kjører en Linux-webserver, bruker du et program som IP Personality for å endre OS fingeravtrykk slik at systemet ser ut som om det kjører noe annet.
-
-
Endre webprogrammet ditt for å kjøre på en ikke-standard port. Endre fra standard HTTP-port 80 eller HTTPS-port 443 til et høyt portnummer, for eksempel 8877, og om mulig sette serveren til å kjøre som en ubehøvlet bruker - det vil si noe annet enn system, administrator, root og så på.
Aldri noensinne stole på uklarheten alene; det er ikke idiotsikkert. En dedikert angriper kan avgjøre at systemet ikke er det det hevder å være.Likevel, selv med naysayers, kan det være bedre enn ingenting.
Sette opp brannmurer
Vurder bruk av ekstra kontroller for å beskytte websystemene dine, inkludert følgende:
-
En nettverksbasert brannmur eller IPS som kan oppdage og blokkere angrep mot webapplikasjoner. Dette inkluderer kommersielle brannmurer og Next Generation IPSer tilgjengelig fra slike selskaper som SonicWall, Check Point og Sourcefire.
-
En vertsbasert webapplikasjon IPS, som SecureIIS eller ServerDefender.
Disse programmene kan oppdage webapplikasjon og visse databaseangrep i sanntid og kutte dem av før de har sjanse til å gjøre noe.
Analyser kildekoden
Programvareutvikling er hvor sikkerhetshull begynner og bør ende, men sjelden gjør. Hvis du føler deg trygg i din etiske hacking-innsats til dette punktet, kan du grave dypere for å finne sikkerhetsfeil i kildekoden din - ting som aldri kan oppdages av tradisjonelle skannere og hackingsteknikker, men det er likevel problemer. Frykt ikke!
Det er faktisk mye enklere enn det høres ut. Nei, du trenger ikke å gå gjennom kodelinjen etter linje for å se hva som skjer. Du trenger ikke engang utviklingserfaring (selv om det hjelper).
For å gjøre dette kan du bruke et statisk kildekodeanalyseverktøy, som de som tilbys av Veracode og Checkmarx. Checkmarxs CxSuite (mer spesifikt CxDeveloper) er et frittstående verktøy som er rimelig og svært omfattende når det gjelder testing av både webapplikasjoner og mobilapper.
Med CxDeveloper, laster du enkelt Enterprise Client, logger deg på applikasjonen (standard legitimasjon er admin @ cx / admin), kjør skannveiviseren for å peke den til kildekoden og velg skannepolitikken din, klikk Neste, klikk Kjør, og du er ute og kjører.
Når skanningen er fullført, kan du se gjennom funnene og anbefalte løsninger.
CxDeveloper er stort sett alt du trenger for å analysere og rapportere om sårbarheter i C #, Java og mobil kildekoden, som er pakket inn i en enkel pakke. Checkmarx, som Veracode, tilbyr også en skybasert kildekoden analyse tjeneste. Hvis du kan komme over noen hindringer forbundet med å laste opp kildekoden din til en tredjepart, kan disse tilby et mer effektivt og mest praktisk alternativ for kildekoden analyse.
Kildekodeanalyse vil ofte avdekke ulike feil enn tradisjonell websikkerhetstesting. Hvis du vil ha det mest omfattende testnivået, gjør du begge. Det ekstra kontrollnivået som tilbys av kildeanalysen, blir stadig viktigere med mobilapps. Disse appene er ofte fulle av sikkerhetshull som mange nyere programvareutviklere ikke lærte om i skolen.
Bunnlinjen med websikkerhet er at hvis du kan vise utviklere og kvalitetssikringsanalytikere at sikkerheten begynner med dem, kan du virkelig gjøre en forskjell i organisasjonens generelle informasjonssikkerhet.
![Slik legger du inn video på tidslinjen i Adobe Flash CS6 - dummies <[SET:descriptionno]For å gjøre det mulig å legge inn video på tidslinjen i Adobe Flash CS6](https://i.howtospotfake.org/img/software-2018/how-to-embed-video-on-timeline-in-adobe-flash-cs6.jpg "Slik legger du inn video på tidslinjen i Adobe Flash CS6 - dummies <[SET:descriptionno]For å gjøre det mulig å legge inn video på tidslinjen i Adobe Flash CS6")
