Cómo minimizar los riesgos de seguridad web para evitar ser atacado

Mantener sus aplicaciones web segura requiere una vigilancia constante en sus esfuerzos de hacking ético y por parte de los desarrolladores web y proveedores. Mantenerse al día con los últimos cortes, herramientas de prueba, y las técnicas y dejar que sus desarrolladores y vendedores saben que la seguridad debe ser una prioridad para su organización.

Puede ganar con manos directas de piratería de aplicaciones web mediante el uso de los siguientes recursos de pruebas y experiencia:

Práctica de seguridad por oscuridad

Las siguientes formas de seguridad por oscuridad - ocultando algo obvio vista usando métodos triviales - puede ayudar a prevenir ataques automatizados de gusanos o secuencias de comandos que son difíciles codificadas para atacar a determinados tipos de scripts o puertos HTTP por defecto:

Video: Como evitar ser atacado por un perro

  • Para proteger las aplicaciones web y bases de datos relacionadas, usar máquinas diferentes para ejecutar cada servidor web, la aplicación y el servidor de base de datos.

    Los sistemas operativos en estas máquinas individuales deben ser probados para vulnerabilidades de seguridad y endurecidos basados ​​en las mejores prácticas.

  • Utilizar las características de seguridad del servidor web integrado para manejar los controles de acceso y el aislamiento de procesos, tales como la función de aplicación de aislamiento en IIS. Esta práctica ayuda a asegurar que si es atacado una aplicación web, que no necesariamente poner otras aplicaciones en ejecución en el mismo servidor en riesgo.

  • Utilice una herramienta para ocultar la identidad de su servidor web - anonimizar esencialmente su servidor. Un ejemplo es ServerMask del puerto 80 Software.

  • Si usted está preocupado por los ataques específicos de la plataforma están llevando a cabo en contra de su aplicación web, puede engañar al atacante en el pensamiento de que el servidor web o sistema operativo es algo completamente diferente. Aquí están algunos ejemplos:

  • Si está ejecutando un servidor y las aplicaciones de Microsoft IIS, es posible cambiar el nombre de todas las secuencias de comandos ASP para tener una .cgi extensión.

  • Si está ejecutando un servidor web Linux, utilice un programa como IP Personality para cambiar la huella digital del sistema operativo para que el sistema parece que se está ejecutando otra cosa.

  • Cambiar su aplicación web para ejecutarse en un puerto no estándar. Cambio del puerto HTTP por defecto 80 o HTTPS puerto 443 en un número alto puerto, como 8877, y, si es posible, configurar el servidor para ejecutarse como un usuario sin privilegios - es decir, algo que no sea el sistema, administrador, raíz, y por lo en.

    • Nunca nunca confiar en la oscuridad solo- no es infalible. Un atacante podría dedicada a determinar que el sistema no es lo que dice ser. Sin embargo, incluso con las personas negativas, puede ser mejor que nada.

    Video: El peligro de las redes sociales

    Poner cortafuegos

    Considere el uso de controles adicionales para proteger sus sistemas web, incluyendo los siguientes:

    • Un servidor de seguridad basado en la red o IPS que puede detectar y bloquear ataques contra las aplicaciones web. Esto incluye cortafuegos comerciales y de próxima generación IPS disponibles de compañías tales como SonicWall, Check Point, y Sourcefire.

    • A IPS de aplicaciones web basadas en host, como SecureIIS o ServerDefender.

      Estos programas pueden detectar aplicaciones web y ciertos ataques de bases de datos en tiempo real y cortarlos antes de que tengan la oportunidad de hacer ningún daño.

    Analizar el código fuente

    El desarrollo de software es donde comienzan los agujeros de seguridad y debería terminar, pero rara vez lo hacen. Si usted se siente seguro en sus esfuerzos de hacking ético a este punto, se puede profundizar más para encontrar fallos de seguridad en su código fuente - cosas que nunca podrían ser descubiertos por los escáneres tradicionales y técnicas de hacking, pero que son problemas, no obstante. ¡No temáis!

    Video: PELEA VS CUCHILLO. CONSEJOS de un PROFESIONAL

    En realidad es mucho más sencillo de lo que parece. No, usted no tendrá que pasar por el código línea por línea para ver lo que está pasando. Ni siquiera necesita experiencia de desarrollo (aunque ayuda).

    Para ello, puede utilizar una herramienta de análisis estático de código fuente, tales como los ofrecidos por Veracode y Checkmarx. CxSuite de Checkmarx (más específicamente CxDeveloper) es una herramienta independiente que es un precio razonable y muy amplio en su prueba de ambas aplicaciones web y aplicaciones para móviles.

    Video: Trabajadores de Colegios: consejos para evitar molestias por sobreesfuerzos

    Con CxDeveloper, sólo tiene que cargar el cliente de empresa, inicia sesión en la aplicación (por defecto son las credenciales admin @ CX / admin), Ejecute el Asistente de análisis Cree que apuntar al código fuente y seleccione la directiva de análisis, haga clic en Siguiente, haga clic en Ejecutar, y ya está fuera de funcionamiento.

    Cuando el análisis se haya completado, puede revisar los resultados y las soluciones recomendadas.

    CxDeveloper es más o menos todo lo que necesita para analizar e informar sobre vulnerabilidades en su C #, Java, y el código fuente móvil agrupados en un paquete sencillo. Checkmarx, como Veracode, también ofrece un servicio de análisis de código fuente basado en la nube. Si usted puede conseguir sobre los obstáculos asociados con la carga de su código fuente a un tercero, éstos pueden ofrecer una opción más eficiente y sobre todo de manos libres para el análisis de código fuente.

    análisis de código fuente a menudo descubrir diferentes defectos que las pruebas tradicionales de seguridad web. Si desea que el nivel más completa de la prueba, hacer ambas cosas. El nivel adicional de cheques que ofrece análisis de la fuente se está volviendo más y más importante con aplicaciones para móviles. Estas aplicaciones son a menudo lleno de agujeros de seguridad que muchos desarrolladores de software más reciente no aprendieron en el colegio.

    La línea de fondo con seguridad en la web es que si se puede mostrar a sus desarrolladores y analistas de control de calidad que la seguridad empieza con ellos, que realmente puede hacer una diferencia en la seguridad general de la información de su organización.

    Artículos Relacionados
    Lista de compras cortafuegos
    Linux: la aplicación de una metodología de prueba de seguridad
    Usando el servidor de seguridad integrado en mac os x panther
    Vulnerabilidades de seguridad basadas en el cliente
    Las vulnerabilidades de seguridad en los sistemas basados ​​en la web
    Vulnerabilidades de seguridad basadas en servidor
    Mantener el servidor weblogic hasta a la fecha
    Seguridad de las aplicaciones en dispositivos móviles android
    Automatizar los controles de seguridad de correo electrónico para evitar cortes a través del correo electrónico
    Aplicaciones de dispositivos móviles básicos y seguridad
    Script predeterminado hacks en aplicaciones web
    Seguridad de dispositivos móviles de la empresa: en el dispositivo cortafuegos
    Cómo descubrir fallos de seguridad de aplicaciones móviles
    Cómo utilizar el análisis de árbol de ataque para prepararse para un truco ética
    ¿Cuál es hacking ético?
    ¿Qué sistemas en caso de que éticamente hackear?
    Cómo proteger su servidor
    Cómo detectar y protegerse contra las vulnerabilidades de seguridad de linux
    Escanear sistemas para detectar y protegerse contra las vulnerabilidades de windows
    Prueba de reglas de firewall para evitar cortes de red