Inhoudsopgave:
Video: Opruimvideo , Minimaliseren van spullen || Thuisvrouw.nl 2024
Het veilig houden van uw webtoepassingen vereist permanente waakzaamheid bij uw ethische hackactiviteiten en bij uw webontwikkelaars en leveranciers. Blijf op de hoogte van de nieuwste hacks, testtools en technieken en laat uw ontwikkelaars en leveranciers weten dat beveiliging een topprioriteit moet zijn voor uw organisatie.
U kunt direct praktijkervaring opdoen met het testen en hacken van webtoepassingen met behulp van de volgende bronnen:
-
OWASP webGoat-project
-
Foundacas Hacme-tools
Oefen beveiliging door onbekendheid
De volgende vormen van beveiliging door obscuriteit - iets verbergen voor voor de hand liggend zicht met behulp van triviale methoden - kan helpen voorkomen dat geautomatiseerde aanvallen van wormen of scripts die hardgecodeerd zijn om specifieke scripttypes of standaard HTTP-poorten aan te vallen:
-
Om webtoepassingen en gerelateerde databases te beschermen, gebruikt u verschillende machines om elke webserver, toepassing en databaseserver uit te voeren.
De besturingssystemen op deze afzonderlijke machines moeten worden getest op beveiligingsrisico's en verhard op basis van de beste werkwijzen.
-
Gebruik ingebouwde webserverbeveiligingsfuncties voor toegangsbeheer en procesisolatie, zoals de functie voor het isoleren van applicaties in IIS. Deze procedure helpt ervoor te zorgen dat als een webtoepassing wordt aangevallen, dit niet noodzakelijkerwijs andere toepassingen op dezelfde server in gevaar brengt.
-
Gebruik een hulpmiddel om de identiteit van uw webserver te verbergen - in feite anonimiseert u uw server. Een voorbeeld is het ServerMask-systeem van Port 80 Software.
-
Als u zich zorgen maakt over platformspecifieke aanvallen die worden uitgevoerd tegen uw webtoepassing, kunt u de aanvaller laten denken dat de webserver of het besturingssysteem iets heel anders is. Hier zijn een paar voorbeelden:
-
Als u een Microsoft IIS-server en -toepassingen gebruikt, kunt u mogelijk al uw ASP-scripts een naam geven. cgi extensie.
-
Als u een Linux-webserver gebruikt, gebruikt u een programma zoals IP-personality om de vingerafdruk van het besturingssysteem te wijzigen, zodat het systeem eruitziet alsof het iets anders uitvoert.
-
-
Wijzig uw webtoepassing zodat deze op een niet-standaardpoort wordt uitgevoerd. Wijzigen van de standaard HTTP-poort 80 of HTTPS-poort 443 naar een hoog poortnummer, zoals 8877, en, indien mogelijk, instellen dat de server wordt uitgevoerd als een onbevoegde gebruiker - dat wil zeggen iets anders dan systeem, beheerder, root en zo op.
Nooit nooit alleen op obscuriteit vertrouwen; het is niet waterdicht. Een toegewijde aanvaller kan bepalen dat het systeem niet is wat het beweert te zijn.Toch kan het zelfs met de nee-zeggers beter dan niets zijn.
Firewalls opzetten
Overweeg extra besturingselementen te gebruiken om uw websystemen te beschermen, waaronder de volgende:
-
Een netwerkgebaseerde firewall of IPS die aanvallen op webtoepassingen kan detecteren en blokkeren. Dit omvat commerciële firewalls en IPS's van de volgende generatie die verkrijgbaar zijn bij bedrijven als SonicWall, Check Point en Sourcefire.
-
Een webgebaseerde webtoepassing IPS, zoals SecureIIS of ServerDefender.
Deze programma's kunnen webapplicaties en bepaalde database-aanvallen in realtime detecteren en afsnijden voordat ze de kans krijgen om schade aan te richten.
Analyseer broncode
Softwareontwikkeling is waar beveiligingslekken beginnen en moet eindigen maar zelden doen. Als je op dit punt vertrouwen hebt in je ethische hacking-inspanningen, kun je dieper graven om beveiligingsfouten in je broncode te vinden - dingen die misschien nooit ontdekt zullen worden door traditionele scanners en hacktechnieken, maar die toch problemen zijn. Wees niet bang!
Het is eigenlijk veel eenvoudiger dan het klinkt. Nee, u hoeft niet regel voor regel door de code te gaan om te zien wat er gebeurt. Je hebt zelfs geen ontwikkelingservaring nodig (hoewel het wel helpt).
Hiervoor kunt u een analyseprogramma voor statische broncodes gebruiken, zoals die worden aangeboden door Veracode en Checkmarx. Checkmarx's CxSuite (meer specifiek CxDeveloper) is een op zichzelf staande tool die redelijk geprijsd en zeer uitgebreid is in het testen van zowel webtoepassingen als mobiele apps.
Met CxDeveloper laadt u eenvoudig de Enterprise Client, meldt u zich aan bij de toepassing (standaardreferenties zijn admin @ cx / admin), voert u de wizard Scan maken uit om deze naar de broncode te verwijzen en selecteert u uw scanbeleid. Klik op Volgende, klik op Uitvoeren en je bent klaar.
Wanneer de scan is voltooid, kunt u de bevindingen en aanbevolen oplossingen bekijken.
CxDeveloper is vrijwel alles wat u nodig hebt om kwetsbaarheden in uw C #, Java en mobiele broncode, gebundeld in een eenvoudig pakket, te analyseren en te rapporteren. Checkmarx biedt, net als Veracode, ook een cloud-gebaseerde analyse van broncodes. Als u eventuele hindernissen die gepaard gaan met het uploaden van uw broncode naar een derde partij kunt omzeilen, kunnen deze een efficiëntere en meestal handsfree-optie bieden voor analyse van broncodes.
Broncodeanalyse zal vaak andere tekortkomingen aan het licht brengen dan de traditionele webbeveiligingstests. Als je het meest uitgebreide testniveau wilt, doe het dan beide. Het extra niveau van controles aangeboden door bronanalyse wordt steeds belangrijker met mobiele apps. Deze apps bevatten vaak gaten in de beveiliging die veel nieuwere softwareontwikkelaars op school niet leerden.
Waar het bij webbeveiliging om draait, is dat als u uw ontwikkelaars en analisten van kwaliteitsborging kunt laten zien dat beveiliging met hen begint, u echt een verschil kunt maken in de algehele informatiebeveiliging van uw organisatie.