الصفحة الرئيسية>موارد بناء الموقع>بيانات الموقع
تنزيل

Awesome-Application-Security-Ceckerlist

إذا كنت تقوم بتصميم وإنشاء واختبار تطبيق الويب/الهاتف المحمول الخاص بك مع وضع الأمان في الاعتبار ، فقد تكون قائمة مراجعة التدابير المضادة هذه نقطة انطلاق جيدة

أنظمة المصادقة (تسجيل/علامة/2 عامل/كلمة المرور)
  • استخدم HTTPS في كل مكان.
  • تخزين تجزئة كلمة المرور باستخدام Bcrypt (لا يوجد ملح ضروري - Bcrypt يفعل ذلك من أجلك).
  • تدمير معرف الجلسة بعد logout .
  • تدمير جميع الجلسات النشطة على إعادة تعيين كلمة المرور (أو عرض).
  • يجب أن يكون معلمة state في OAUTH2.
  • لا توجد إعادة توجيه مفتوحة بعد تسجيل الدخول الناجح أو في أي إعادة توجيه وسيطة أخرى.
  • عند تحليل إدخال الاشتراك/تسجيل الدخول ، قم بالتطهير لـ JavaScript: // ، البيانات: // ، أحرف CRLF.
  • قم بتعيين ملفات تعريف الارتباط HTTPONLY.
  • في التحقق من OTP المحمول عبر الهاتف المحمول ، لا ترسل OTP مرة أخرى في الاستجابة عند generate OTP أو Resend OTP .
  • الحد من محاولات Login ، Verify OTP ، Resend OTP وإنشاء واجهات generate OTP لمستخدم معين. احصل على مجموعة احتياطية أسية أو/وشيء مثل التحدي القائم على Captcha.
  • تحقق من العشوائية لإعادة تعيين رمز كلمة المرور في الرابط عبر البريد الإلكتروني أو الرسائل القصيرة.
  • اضبط انتهاء صلاحية على رمز إعادة تعيين كلمة المرور لفترة معقولة.
  • قم بإنهاء مميز إعادة تعيين بعد استخدامه بنجاح.
بيانات المستخدم والترخيص
  • أي وصول مثل الموارد مثل ، my cart ، يجب على my history التحقق من تسجيل ملكية المستخدم للمورد باستخدام معرف الجلسة.
  • يجب تجنب معرف الموارد المتسلسل. استخدام /me/orders بدلاً من /user/37153/orders . هذا بمثابة فحص عقل في حال نسيت التحقق من رمز التفويض.
  • يجب أن تكون ميزة Edit email/phone number مصحوبًا بالبريد الإلكتروني للتحقق إلى مالك الحساب.
  • يجب على أي ميزة تحميل تعقيم اسم الملف الذي يوفره المستخدم. أيضًا ، لأسباب تتعلق بشكل عام عن الأمان ، قم بتحميل شيء مثل S3 (وبعد العملية باستخدام Lambda) وليس الخادم الخاص بك قادر على تنفيذ التعليمات البرمجية.
  • يجب أن تقوم ميزة Profile photo upload بتطهير جميع علامات EXIF ​​أيضًا إذا لم يكن مطلوبًا.
  • بالنسبة لمعرفات المستخدم وغيرها من المعرفات ، استخدم UUID المتوافقة مع RFC بدلاً من الأعداد الصحيحة. يمكنك العثور على تطبيق لهذا لغتك على Github.
  • JWT رائع. استخدمها إذا لزم الأمر لتطبيق صفحة واحدة/واجهات برمجة التطبيقات.
قاعدة البيانات
  • استخدم التشفير للبيانات التي تحدد المستخدمين والبيانات الحساسة مثل رموز الوصول أو عناوين البريد الإلكتروني أو تفاصيل الفواتير.
  • إذا كانت قاعدة البيانات الخاصة بك تدعم تشفير التكلفة منخفضة في الراحة (مثل AWS Aurora) ، فعليك تمكين ذلك لتأمين البيانات على القرص. تأكد من تخزين جميع النسخ الاحتياطية مشفرة كذلك.
  • استخدم الحد الأدنى من الامتياز لحساب مستخدم الوصول إلى قاعدة البيانات. لا تستخدم حساب جذر قاعدة البيانات.
  • تخزين الأسرار وتوزيعها باستخدام متجر رئيسي مصمم لهذا الغرض. لا تقم برمز صعب في تطبيقاتك.
  • منع حقن SQL بالكامل عن طريق استخدام عبارات SQL المعدة فقط. على سبيل المثال: إذا كنت تستخدم NPM ، فلا تستخدم NPM-MYSQL ، فاستخدم NPM-MYSQL2 الذي يدعم العبارات المعدة.
تطبيق Android / iOS
  • يجب ألا يكون salt من بوابات الدفع متشددة.
  • الرمز secret / auth token من الطرف الثالث لا ينبغي أن يكون متشدد.
  • لا ينبغي إجراء مكالمات API المخصصة server to server من التطبيق.
  • في Android ، يجب تقييم جميع الأذونات الممنوحة بعناية.
  • على iOS ، قم بتخزين المعلومات الحساسة (رموز المصادقة ، مفاتيح API ، إلخ) في سلسلة مفاتيح النظام. لا تقم بتخزين هذا النوع من المعلومات في الإعدادات الافتراضية للمستخدم.
  • يوصى بشدة بتثبيت الشهادة.
رؤوس الأمن والتكوينات
  • Add رأس CSP للتخفيف من XSS وهجمات حقن البيانات. هذا مهم.
  • Add رأس CSRF لمنع التزوير طلب الموقع. إضافة أيضا سمات sameite على ملفات تعريف الارتباط.
  • Add رأس HSTS لمنع هجوم تجريد SSL.
  • Add مجالك إلى قائمة التحميل المسبق لـ HSTS
  • Add خيارات X-Frame للحماية من ClickJacking.
  • Add رأس حماية X-XSS لتخفيف هجمات XSS.
  • تحديث سجلات DNS لإضافة سجل SPF للتخفيف من هجمات البريد العشوائي والتصيد.
  • أضف تحقق من تكامل SubResource إذا كان تحميل مكتبات JavaScript الخاصة بك من طرف ثالث CDN. للحصول على أمان إضافي ، أضف متطلبات SRI-for CSP-DIRICTION حتى لا تقوم بتحميل الموارد التي لا تحتوي على SRI SAT.
  • استخدم الرموز العشوائية CSRF وفضح واجهات برمجة تطبيقات منطق العمل كطلبات نشر HTTP. لا تكشف عن رموز CSRF عبر HTTP على سبيل المثال في مرحلة ترقية الطلب الأولي.
  • لا تستخدم البيانات الهامة أو الرموز في الحصول على معلمات طلب. من شأن التعرض لسجلات الخادم أو معالجة الجهاز/المكدس أن يعرض بيانات المستخدم بدوره.
تطهير المدخلات
  • Sanitize جميع مدخلات المستخدم أو أي معلمات إدخال معرضة للمستخدم لمنع XSS.
  • استخدم دائمًا الاستعلامات المعلمة لمنع حقن SQL.
  • تعقيم إدخال المستخدم إذا كان استخدامه مباشرة للوظائف مثل استيراد CSV.
  • Sanitize إدخال المستخدم للحالات الخاصة مثل robots.txt كأسماء ملفات تعريف في حال كنت تستخدم نمط URL مثل CoolCorp.io/username.
  • لا تقم برمجية أو بناء JSON بواسطة سلسلة متسلسل على الإطلاق ، بغض النظر عن مدى صغر حجم الكائن. استخدم المكتبات أو إطار عمل لغتك.
  • تطهير المدخلات التي تأخذ نوعا من عناوين URL لمنع SSRF.
  • تطهير المخرجات قبل العرض للمستخدمين.
رفض حماية الخدمة
  • تأكد من أن هجمات DOS على واجهات برمجة التطبيقات لن تشل موقعك. كحد أدنى ، لديك محددات الأسعار على مسارات API أبطأ مثل تسجيلات تسجيل الدخول والتوليد الرمزي. النظر في Captcha على واجهات برمجة التطبيقات الأمامية لحماية الخدمات الخلفية ضد DOS.
  • فرض حدود العقل على حجم وهيكل البيانات المقدمة من المستخدمين والطلبات.
  • استخدم التخفيف الموزع للخدمة (DDOS) من خلال خدمة وكيل التخزين المؤقت العالمية مثل CloudFlare. يمكن تشغيل ذلك إذا كنت تعاني من هجوم DDOs وتعمل بطريقة أخرى كبحث DNS.
العمليات
  • إذا كنت صغيرًا وعديم الخبرة ، فقم بتقييم باستخدام AWS LosticBeanstalk أو PaaS لتشغيل الكود الخاص بك.
  • استخدم نصًا لائقًا لإنشاء VMs في السحابة.
  • تحقق من الآلات مع open ports غير المرغوب فيها.
  • تحقق من عدم/كلمات مرور NO/افتراضية databases وخاصة MongoDB و Redis.
  • استخدم SSH للوصول إلى أجهزتك ؛ لا تقم بإعداد كلمة مرور ، استخدم المصادقة المستندة إلى مفتاح SSH بدلاً من ذلك.
  • قم بتثبيت التحديثات في الوقت المناسب للعمل على نقاط الضعف صفر يوم مثل Heartbleed و Shellshock.
  • تعديل تكوين الخادم لاستخدام TLS 1.2 لـ HTTPS وتعطيل جميع المخططات الأخرى. (المقايضة جيدة.)
  • لا تترك وضع التصحيح على. في بعض الأطر ، يمكن أن يمنح وضع التصحيح الوصول إلى الاستبدال أو القذائف الكاملة أو فضح البيانات الهامة في رسائل الخطأ stacktraces.
  • كن مستعدًا للممثلين السيئين و DDOS - استخدم خدمة استضافة لديها تخفيف DDOS.
  • قم بإعداد مراقبة أنظمتك ، وتسجيل الأشياء (استخدم Relic New أو شيء من هذا القبيل).
  • إذا كانت تطوير عملاء المؤسسات ، تلتزم بمتطلبات الامتثال. إذا كان AWS S3 ، فكر في استخدام الميزة لتشفير البيانات. إذا كنت تستخدم AWS EC2 ، ففكر في استخدام الميزة لاستخدام وحدات التخزين المشفرة (يمكن تشفير أحجام التمهيد الآن).
تكوين السحابة
  • تأكد من أن جميع الخدمات لديها الحد الأدنى من المنافذ مفتوحة. في حين أن الأمن من خلال الغموض ليس حماية ، فإن استخدام المنافذ غير القياسية سيجعل الأمر أكثر صعوبة للمهاجمين.
  • استضافة قاعدة بيانات الواجهة الخلفية والخدمات على VPCs الخاصة التي غير مرئية على أي شبكة عامة. كن حذرًا جدًا عند تكوين مجموعات أمان AWS و VPCs التي يمكن أن تجعل الخدمات مرئية للجمهور عن غير قصد.
  • عزل الخدمات المنطقية في VPCs منفصلة و VPCs نظير لتوفير اتصال بين الخدمة.
  • تأكد من قبول جميع الخدمات فقط البيانات من الحد الأدنى من عناوين IP.
  • تقييد حركة مرور IP وحركة المنفذ الصادرة لتقليل APTS و "التفتيش".
  • استخدم دائمًا أدوار AWS IAM وليس بيانات الاعتماد الجذرية.
  • استخدم الحد الأدنى من امتياز الوصول لجميع موظفي العمليات والموظفين المطورين.
  • قم بتدوير كلمات المرور بانتظام والوصول إلى مفاتيح وفقًا للجدول الزمني.

CI & CD تدقيق التصميم والتنفيذ الخاص بك مع تغطية اختبارات الوحدة/التكامل. استخدم عملية مراجعة التعليمات البرمجية وتجاهل الموافقة الذاتية. تأكد من مسح جميع مكونات خدماتك بشكل ثابت بواسطة AV Software قبل الضغط على الإنتاج ، بما في ذلك مكتبات البائعين وغيرها من التبعيات. تصميم حل التراجع للنشر.

الناس
  • قم بإعداد بريد إلكتروني (على سبيل المثال [email protected]) وصفحة للباحثين الأمنية للإبلاغ عن نقاط الضعف.
  • اعتمادًا على ما تقوم به ، حدد الوصول إلى قواعد بيانات المستخدم الخاصة بك.
  • كن مهذبًا على مراسلي الأخطاء.
  • قم بإجراء مراجعة التعليمات البرمجية الخاصة بك من قِبل مطور زميل من منظور الترميز الآمن. (المزيد من العيون)
  • في حالة الاختراق أو خرق البيانات ، تحقق من السجلات السابقة للوصول إلى البيانات ، واطلب من الأشخاص تغيير كلمات المرور. قد تحتاج إلى تدقيق من قبل الوكالات الخارجية اعتمادًا على المكان الذي تم دمج فيه.
بنية تحتية
  • تأكد من أنه يمكنك القيام بالترقيات دون توقف. تأكد من أنه يمكنك تحديث البرنامج بسرعة بطريقة آلية بالكامل.
  • قم بإنشاء جميع البنية التحتية باستخدام أداة مثل Terraform ، وليس عبر وحدة التحكم السحابية. يجب تعريف البنية التحتية على أنها "رمز" وأن تكون قادرة على إعادة إنشاء زر واحد. احصل على تسامح صفري لأي مورد تم إنشاؤه في السحابة باليد - يمكن لـ Terraform مراجعة التكوين الخاص بك.
  • استخدام تسجيل مركزي لجميع الخدمات. يجب ألا تحتاج أبدًا إلى SSH للوصول إلى السجلات أو استردادها.
  • لا تقم بإجراء الخدمات باستثناء التشخيص لمرة واحدة. باستخدام SSH بانتظام ، يعني عادة أنك لم تقم بمهمة مهمة.
  • لا تحتفظ بالمنفذ 22 مفتوحًا على أي مجموعات خدمة AWS على أساس دائم. بدلاً من ذلك ، ضع في اعتبارك السماح فقط لـ IPS المصرح به إلى SSH على المربع.
  • قم بإنشاء مضيفين غير قابلتين بدلاً من الخوادم طويلة العمر التي تقوم بتصحيحها وترقيتها. (انظر البنية التحتية غير القابلة للتغيير يمكن أن تكون أكثر أمانًا).
  • استخدم نظام الكشف عن التسلل مثل Sensedeep أو Service لتقليل APTs.
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل