Контрольный список уязвимостей программирования веб-сайтов

Из проекта Open Web Application Security :

1. Первая десятка уязвимостей OWASP (pdf)
2. Для более мучительно исчерпывающего списка: Category:Vulnerability

В первую десятку входят:

1. Межсайтовые сценарии (XSS)
2. Дефекты инъекции (SQL инъекция, сценарий инъекции)
3. Выполнение вредоносного файла
4. Небезопасные прямые ссылки на объект
5. Подделка межсайтовых запросов (XSRF)
6. Утечка информации и неправильная обработка ошибок
7. Нарушенная аутентификация и управление сеансами
8. Небезопасное криптографическое хранилище
9. Небезопасные связи
10. Неспособность ограничить доступ URL

Я поддерживаю информацию OWASP как ценный ресурс. Также могут представлять интерес следующие элементы, в частности схемы атак:

• Топ-10 сертификатов приемы безопасного программирования
• Перечисление и классификация общих шаблонов атак
• Схемы Атак
• Безопасное программирование для Linux и Unix
• Таксономия ошибок кодирования, влияющих на безопасность
• Безопасное Программирование со статическим анализом презентации

Очевидно проверить каждое поле на наличие уязвимостей:

• SQL - струны побег (например, mysql_real_escape_string )
• XSS
• HTML печатается из полей ввода (обычно это хороший признак XSS)
• Все остальное, что не является конкретной целью, для которой было создано это поле

Поиск бесконечных циклов (единственная косвенная вещь (если много людей нашли ее случайно), которая действительно может убить сервер).

Некоторые методы профилактики:

XSS

• Если вы берете какие-либо параметры/ввод от пользователя и когда-либо планируете вывести его, будь то в журнале или на веб-странице, очистите его (strip/escape что-нибудь похожее на HTML, кавычки, javascript...) Если вы печатаете текущий URI страницы внутри себя, санируйте! Даже печать PHP_SELF, например, небезопасна. Санировать! Светоотражающие XSS в основном непроверенные параметры страницы.

• Если вы принимаете какие-либо данные от пользователя и сохраняете их или печатаете, предупредите их, если будет обнаружено что-либо опасное/недопустимое, и попросите их повторно ввести данные. IDS хорошо подходит для обнаружения (например, PHPIDS.) Затем санируйте перед storage/printing., а затем, когда вы напечатаете что-то из storage/database,, снова санируйте! Ввод -> IDS/санировать -> магазин -> очистить -> выход

• используйте сканер кода во время разработки, чтобы определить потенциально уязвимый код.

XSRF

• Никогда не используйте запрос GET для деструктивная функциональность, т. е. удаление записи. Вместо этого, только примите POST запросов. GET делает его очень легким для хакерства.
• Проверка состояния реферер, чтобы убедиться, что запрос пришли с вашего сайта не так работа. Это не трудно подделать ссылающаяся страница.
• Используйте случайный hash в качестве маркера, который должен присутствовать и действовать в каждом запросе, и который через некоторое время истечет. Распечатайте маркер в скрытом поле формы и проверьте его на стороне сервера, когда форма будет разнесена. Плохие парни должны были бы предоставить правильный токен, чтобы подделать запрос, и если бы им удалось получить настоящий токен, он должен был бы быть до истечения срока его действия.

SQL инъекция

• ваш класс абстракции ORM или db должен иметь методы очистки-используйте их всегда. Если вы не используете класс абстракции ORM или db... а тебе следовало бы им быть.

SQL инъекция

XSS (Межсайтовые Сценарии) Атаки

Легко контролировать и легко исправить: дезинфекция данных, полученных со стороны клиента. Проверка на наличие таких вещей, как";", может помочь предотвратить внедрение вредоносного кода в ваше приложение.

Добрый день,

Хорошим инструментом статического анализа для обеспечения безопасности является FlawFinder , написанный Дэвидом Уилером. Он делает хорошую работу в поисках различных эксплойтов безопасности,

Однако это не заменяет того, что кто-то знающий читает ваш код. Как говорит Дэвид на своей веб-странице, "A fool with a tool is still a fool!"

HTH.

овации, Грабить

Вы можете получить хорошие аддоны firefox для тестирования нескольких дефектов и уязвимостей, таких как xss и sql инъекции от Security Compass . Очень жаль, что они не работают на firefox 3.0. Я надеюсь, что они будут обновлены в ближайшее время.