Безопасность web-приложений
Посмотрел слайды по безопасности вэб-приложений, что хочется отметитьГлавный миф.
наше приложение безопасно, потому что мы используем файервол, мы проводим аудит безопасности раз в квартал и мы используем сканеры иязвимостей.
Даже используя все эти методы, нельзя ничего гарантировать.Делее несколько наиболее актуальных угроз.Cross-Site Scripting (XSS).
Самая критическая угроза на данный момент.
Потенциально возможна подмена содержимого сайта, возможно красть сессии, личные данные и тд.
Радикальное решение - отключать javascript.Различные иньекции.
То, что нельзя доверять данным пользователя сказано много и многими.Потенциальна опасна ситуация, при которой имена ресурсов (файлов, таблиц,...) зависят от данных пользователя.Утечка информации.
Опасно давать пользователю больше информации, чем ему надо знать.
Например недопустимо при какой-либо ошибке выводить часть SQL-запроса, или имя служебного файла.
Подобные утечки создают фундамент для будущих хаков.
Иногда лишняя информация просачивается в html-коментарии, иногда в других местах.
Чем меньше знает пользователь о том как работает приложение, тем лучше.