Безопасность веб-приложений. Исчерпывающий гид для начинающих разработчиков
Исчерпывающее руководство по безопасности программного обеспечения. Поддерживать безопасность своих продуктов — одна из первостепенных задач любой современной IT-компании. В этой книге вы найдете пошаговые инструкции по тому, как спроектировать безопасную архитектуру веб-сайтов и приложений и защищать ее на всех этапах производства и реализации. Более того, автор даст ответы на самые распространенные вопросы об информационной безопасности и расскажет о лучших практиках гигантов технологической индустрии, например, Microsoft и Google. Для кого эта книга: • специалисты по информационной безопасности; • практикующие разработчики программного обеспечения; • инженеры приложений; • руководители IT-проектов; • специалисты по тестированию. Таня Янка, также известная как SheHacksPurple — основательница сообщества и онлайн-академии We Hack Purple, цель которых — научить разработчиков создавать безопасное программное обеспечение. Таня занимается программированием и работает в сфере информационных технологий более 20 лет, в ее послужной список входят такие технологические корпорации, как Microsoft, Adobe и Nokia.
Жас шектеулері: 12+
Құқық иегері: Издательство ЭКСМО
Басылым шыққан жыл: 2023
Баспа: Бомбора
Аудармашы: Михаил Райтман
Қағаз беттер: 463
Дәйексөздер207
при работе с небезопасным для памяти языком есть несколько твердых правил, применяемых независимо от ситуации. Необходимо следующее.
1. Выполнять проверку границ на каждом вводе, тщательно и многократно тестировать эту функцию.
1. Выполнять проверку границ на каждом вводе, тщательно и многократно тестировать эту функцию.
Ниже приведены дополнительные рекомендации по управлению сессиями от команды, разработавшей памятки OWASP[45].
• Идентификаторы сессии должны иметь длину не менее 128 символов.
• Идентификатор сессии должен быть непредсказуемым (рандомизированным) для предотвращения атак через угадывание. Используйте для этого общепризнанный генератор случайных чисел, а не пишите отдельный код. При каждом входе в учетную запись пользователь должен получать новый идентификатор сессии.
• Используйте встроенную функцию управления сессиями в платформе, если такая функция существует.
• Идентификатор сессии должен передаваться только по зашифрованным каналам.
• Сессия должна быть прервана после выхода пользователя из системы.
• Веб-приложения ни в коем случае не должны принимать не сгенерированный ими идентификатор сессии. Получение такого идентификатора обычно фиксируется и регистрируется как подозрительная активность, при этом создается соответствующее предупреждение, а IP-адрес, с которого он был отправлен, блокируется. Данная ситуация является угрозой безопасности.
• При аутентификации, повторной аутентификации или любом другом событии, которое изменяет уровень привилегий связанного с ним пользователя, создается новый идентификатор.
• Идентификаторы сессии должны иметь длину не менее 128 символов.
• Идентификатор сессии должен быть непредсказуемым (рандомизированным) для предотвращения атак через угадывание. Используйте для этого общепризнанный генератор случайных чисел, а не пишите отдельный код. При каждом входе в учетную запись пользователь должен получать новый идентификатор сессии.
• Используйте встроенную функцию управления сессиями в платформе, если такая функция существует.
• Идентификатор сессии должен передаваться только по зашифрованным каналам.
• Сессия должна быть прервана после выхода пользователя из системы.
• Веб-приложения ни в коем случае не должны принимать не сгенерированный ими идентификатор сессии. Получение такого идентификатора обычно фиксируется и регистрируется как подозрительная активность, при этом создается соответствующее предупреждение, а IP-адрес, с которого он был отправлен, блокируется. Данная ситуация является угрозой безопасности.
• При аутентификации, повторной аутентификации или любом другом событии, которое изменяет уровень привилегий связанного с ним пользователя, создается новый идентификатор.
Идентификаторы сессии передаются в защищенном файле cookie (с использованием настроек, описанных в главе 3) и никогда – в параметрах URL.
