Wie man Risiken minimieren Web Security zu vermeiden Erste Hacked

Halten Sie Ihre Webanwendungen sicher erfordert eine kontinuierliche Wachsamkeit in Ihrem Ethical Hacking Bemühungen und auf dem Teil Ihrer Web-Entwickler und Anbieter. Halten Sie sich mit den neuesten Hacks, Test-Tools und Techniken, und lassen Sie Ihre Entwickler und Anbieter wissen, dass Sicherheit oberste Priorität für Ihre Organisation sein muss.

Sie können mithilfe der folgenden Ressourcen direkte praktische Erfahrung Testen und Hacking Web-Anwendungen gewinnen:

• OWASP webGoat Projekt

• Foundstone Hacme Werkzeuge

Praxis-Sicherheit durch Unklarheit

Die folgenden Formen der Sicherheit durch Unklarheit - etwas aus der Hand Ansicht mit trivialen Methoden versteckt - helfen können automatisierte Angriffe von Würmern oder Skripte zu verhindern, die hartcodiert sind bestimmte Script-Typen oder Standard-HTTP-Ports zum Angriff:

• Um Web-Anwendungen und damit verbundene Datenbanken zu schützen, verwenden verschiedene Maschinen jeden Web-Server, Anwendungs- und Datenbankserver ausgeführt werden.

  Die Betriebssysteme auf diesen einzelnen Maschinen sollten basierend auf Best Practices für Sicherheitslücken und gehärtet getestet werden.

• Verwenden Sie integrierte Web-Server-Sicherheitsfunktionen Zugriffskontrollen und Prozessisolation, wie die Anwendung-Isolation-Funktion in IIS zu handhaben. Diese Praxis stellt sicher, dass, wenn eine Web-Anwendung angegriffen wird, wird es nicht unbedingt alle anderen Anwendungen setzen auf dem gleichen Server in Gefahr läuft.

• Benutzen Sie ein Werkzeug für Ihre Web-Server die Identität verschleiern - im Wesentlichen zu anonymisieren Server. Ein Beispiel ist Port 80 Software ServerMask.

• Wenn Sie besorgt über plattformspezifische Angriffe sind zu werden gegen Ihre Web-Anwendung ausgeführt wird, können Sie den Angreifer zu denken, den Webserver Trick oder System arbeitet, ist etwas ganz anderes. Hier sind ein paar Beispiele:

• Wenn Sie einen Microsoft IIS-Server und Anwendungen laufen lassen, können Sie alle Ihre ASP-Skripts umbenennen ein zu haben .cgi Erweiterung.

• Wenn Sie einen Linux-Webserver ausführen, verwenden Sie ein Programm wie IP Personality das OS Fingerabdruck zu ändern, damit das System sieht aus wie es etwas anderes läuft.

Ändern Sie Ihre Web-Anwendung auf einem Nicht-Standard-Port laufen. Wechseln Sie von der Standard-HTTP-Port 80 oder HTTPS-Port 443 zu einem hohen Port-Nummer, wie 8877, und, wenn möglich, stellen Sie den Server als nicht privilegierter Benutzer ausgeführt werden - das heißt, etwas anderes als System, Administrator, root, und so auf.

Nie jemals auf Dunkelheit verlassen allein- es nicht narrensicher ist. Ein dedizierter Angreifer kann bestimmen, dass das System nicht, was sie zu sein vorgibt. Doch auch mit den Pessimisten, kann es besser als nichts sein.

Stecke Firewalls

Erwägen Sie die Verwendung zusätzlicher Kontrollen Ihre Web-Systeme zu schützen, einschließlich der folgenden:

• Ein netzwerkbasierte Firewall oder IPS, die und Block Angriffe auf Web-Anwendungen erkennen kann. Dazu gehören kommerzielle Firewalls und Next-Generation IPSs erhältlich von Firmen wie Sonicwall, Check Point, und Sourcefire.

• Ein Host-basierte Web-Anwendung IPS, sowie SecureIIS oder ServerDefender.

  Diese Programme können Web-Anwendung und bestimmte Datenbank Angriffe in Echtzeit erkennen und schneiden Sie sie aus, bevor sie eine Chance haben, irgendeinen Schaden zu tun.

Analysieren Quellcode

Software-Entwicklung ist, wo Sicherheitslücken beginnen und sollte Ende aber nur selten tun. Wenn Sie in Ihrem Ethical Hacking Bemühungen zu diesem Punkt zuversichtlich fühlen, können Sie tiefer graben, um Sicherheitslücken im Quellcode finden - Dinge, die vielleicht nie von den traditionellen Scannern und Hacking-Techniken entdeckt werden, aber die Probleme dennoch sind. Keine Angst!

Es ist eigentlich viel einfacher als es klingt. Nein, Sie müssen gehen nicht durch den Code Zeile für Zeile, um zu sehen, was passiert. Sie brauchen nicht einmal Entwicklungserfahrung (auch wenn es Hilfe tut).

Um dies zu tun, können Sie eine statische Quellcode-Analyse-Tool, wie sie angeboten nutzen, indem Veracode und Checkmarx. Checkmarx des CxSuite (genauer gesagt CxDeveloper) ist ein eigenständiges Tool, das preiswert ist und sehr umfangreich in seine Tests beider Web-Anwendungen und mobile Anwendungen.

Mit CxDeveloper, laden Sie einfach den Enterprise Client, melden Sie sich bei der Anwendung (Standardanmeldeinformationen sind admin @ cx / admin), Führen Sie den Scan-Assistenten erstellen, um den Quellcode zu zeigen und Ihre Scanrichtlinie wählen, klicken Sie auf Weiter, klicken Sie auf Ausführen, und du bist weg und läuft.

Wenn der Scanvorgang abgeschlossen ist, können Sie die Ergebnisse und Lösungsvorschläge überprüfen.

CxDeveloper ist so ziemlich alles, was Sie brauchen, und auf Schwachstellen in Ihrem C #, Java und mobile Quellcode in einem einfachen Paket gebündelt berichten zu analysieren. Checkmarx, wie Veracode, bietet auch eine Cloud-basierte Analyse-Service-Quellcode. Wenn Sie irgendwelche Hürden mit dem Hochladen des Quellcodes an einen Dritten im Zusammenhang verwinden können, können diese bieten eine effizientere und vor allem praktische Option für die Quellcodeanalyse.

Quellcodeanalyse wird aufdecken oft verschiedene Mängel als herkömmliche Web-Sicherheitstests. Wenn Sie die umfassendste Teststufe wollen, tun beides. Die zusätzliche Ebene der Kontrollen durch Quellenanalyse angeboten wird mehr und mehr wichtig, mit mobilen Anwendungen. Diese Anwendungen sind oft voll von Sicherheitslücken, dass viele neuere Software-Entwickler haben in der Schule nicht lernen.

Unterm Strich mit Web-Sicherheit ist, dass, wenn Sie Ihre Entwickler und Qualitätssicherung Analysten zeigen, dass die Sicherheit mit ihnen beginnt, die Sie wirklich einen Unterschied in Ihrer Organisation insgesamt die Informationssicherheit zu machen.