5 советов по безопасности программ для разработчиков

Перевод статьи «5 must-do security tips for developers».

Безопасность в сфере разработки

Я уже некоторое время работаю аналитиком безопасности и аудитором, и в процессе работы нахожу много вещей, которые меня очень огорчают. Я порой задумывалась над тем, что было бы, если бы разработчики вовремя заботились о безопасности. И тогда я решила написать несколько советов для разработчиков. Я перечислю 5 из них, а если вам есть, что добавить, добро пожаловать в комментарии!

1. Уделяйте внимание дефолтным админским страницам

Я бессчетное количество раз обнаруживала страницу /myadmin.php и другие аналогичные страницы с дефолтными значениями. Использование фреймворков это потрясающая идея, но очень важно позаботиться о подобных вещах. Злоумышленник может предпринять брутфорс-атаку, чтобы залогиниться на админскую страницу, а это может привести к удручающим последствиям.

2. Пожалуйста, применяйте сильные пароли

Я знаю, что запоминать надежные пароли это сложная задача, но у нас же для этого есть KeePass. Если сомневаетесь, посмотрите информацию по утечкам данных, связанным с паролями. Это кажется мелочью, но на самом деле сильный пароль это очень важно.

3. Не думайте, что «это безопасно, оно же в контейнере»

Нет. Безопасность так не работает. На самом деле. Например, если вы, ребята, используете старые версии ресурсов (а я это довольно часто обнаруживаю), тот же ElasticSearch, вы можете использовать команды curl для взлома приложения, как и многие другие вещи. Я понимаю, что поиск уязвимостей это не ваша работа (потому для этих целей и нанимают отдельных специалистов), но вы можете выполнять хотя бы базовую оценку уязвимости, используя, например, CoreOS с Clair (о том, как это сделать, читайте здесь).

Безопасность приложений, защита от взлома

4. Всё фильтруйте

Пожалуйста, уделяйте внимание тому, какие данные в вашем приложении может вводить пользователь. Возможно, вы не знаете, но есть такой вид атаки как межсайтовый скриптинг (XSS), который может использоваться как часть многих других атак, и работает он лишь благодаря отсутствию фильтрации. Не позволяйте пользователям использовать элементы скриптов – это избавит от многих проблем.

5. Советуйтесь

Я долго думала, какой совет поставить последним. Например, можно было бы посоветовать не следовать слепо моде и не использовать новые технологии без должной их проверки только потому, что они звучат красиво. Но я подумала, что самая важная вещь, о которой, тем не менее часто забывают, – возможность и необходимость спрашивать совета у специалистов.

Совершенно нормально чего-то не знать, особенно когда это касается безопасности, ведь разработчики не обязаны знать детали. Для этого в компаниях существует аудит и анализ безопасности. Но несмотря на то, что ваше приложение будет проверяться специалистами, не стесняйтесь задавать вопросы еще в процессе разработки. Некоторые проблемы гораздо легче решить на более ранних стадиях, а не когда аналитик проверяет готовое приложение.

Спрашивать совета в отношении безопасности на ранних стадиях разработки и следовать этим советам это здоровое, ответственное решение. Мне порой кажется, что разработчики видят во мне врага, с которым нужно бороться, кого-то, кто вредит их детищу. Но я лишь хочу, чтобы все работало должным образом, а это гораздо легче обеспечить, когда вопросы безопасности продумываются с самого начала работ над проектом.

[customscript]techrocks_custom_after_post_html[/customscript]

[customscript]techrocks_custom_script[/customscript]

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Прокрутить вверх