Основы информационной безопасности веб-приложений

Базовые понятия

Примеры уязвимостей

• Отсутствие/недостаточная валидация пользовательского ввода
• Валидация пользовательского ввода на стороне клиента
• Некорректная обработка ошибок
• Утечка информации о внутреннем устройстве приложения
• Хранение паролей в открытом виде
• Недостаточно длинные/случайные идентификаторы сессий

Примеры атак

• SQL-injection (xkcd на тему)
• Path traversal attack
• Cross-Site Scripting (XSS) (кто-то может передать браузеру злонамеренный код от имени приложения)
• Phishing
• Cross-Site Request Forgery (CSRF) (кто-то может отправить запрос от имени пользователя)
• Denial of Service (DOS) (следите за выделением/освобождением ресурсов)
• Man in the Middle (MITM) (перехват сообщений от клиента к серверу, HTTPS, HeartBleed и прочие радости)

Controls / Countermeasures

• Authentication
• Authorization / Access Control
• Audit
• Session Management
• Input Validation
• Error Handling
• Logging
• Cryptography
• Application Software Security

Анализ рисков информационной безопасности

Top 10 Web Application Security Problems by OWASP

https://www.owasp.org/index.php/Top_10_2013-Top_10

Best practices / principles

• Apply defense in depth
• Use a positive security model
• Fail securely
• Run with least privilege
• Avoid security by obscurity
• Keep security simple
• Detect intrusions
• Don’t trust infrastructure
• Don’t trust services
• Establish secure defaults

Session Management Best Practices

https://www.owasp.org/index.php/Session_Management_Cheat_Sheet

Password Management Best Practices

https://crackstation.net/hashing-security.htm