Awesome Application Security Checklist

Wenn Sie Ihre Web-/Mobile-Anwendung unter Berücksichtigung der Sicherheit entwerfen, erstellen, testen, kann diese Checkliste der Gegenmaßnahmen ein guter Ausgangspunkt sein

• Verwenden Sie überall HTTPS.
• Speichern Sie Passwort -Hashes mit Bcrypt (kein Salz erforderlich - Bcrypt macht es für Sie).
• Zerstören Sie die Sitzungskennung nach dem logout .
• Zerstören Sie alle aktiven Sitzungen beim Zurücksetzen des Passworts (oder bieten Sie an).
• Muss den state in OAuth2 haben.
• Keine offenen Weiterleitungen nach erfolgreichem Anmeldung oder in anderen Zwischenauslösten.
• Bei der Parsen -Anmeldung/Anmeldeingabe sanieren Sie JavaScript: //, Data: //, CRLF -Zeichen.
• Setzen Sie sich sicher, httponly Cookies.
• Senden Sie in der mobilen OTP -basierten mobilen Überprüfung die OTP nicht wieder in die Antwort, wenn generate OTP oder Resend OTP .
• Begrenzen Sie die Versuche, Login , Verify OTP , Resend OTP und generate OTP . Haben Sie ein exponentielles Backoff -Set oder/und so etwas wie eine Captcha -basierte Herausforderung.
• Überprüfen Sie, ob Sie die Zufälligkeit des Zurücksetzens Passwort -Token im E -Mail -Link oder im SMS -SMS zurücksetzen.
• Legen Sie einen Ablauf für einen angemessenen Zeitraum auf dem RESET -Passwort -Token fest.
• Verfassen Sie das Reset -Token, nachdem es erfolgreich eingesetzt wurde.

• Jeder Ressourcenzugriff wie my cart , my history sollte den angemeldeten Eigentum des Benutzers an der Ressource mithilfe der Sitzungs -ID überprüfen.
• Seriell iterable Ressourcen -ID sollte vermieden werden. Verwendung /me/orders anstelle von /user/37153/orders . Dies fungiert als Überprüfung der Gesundheit, falls Sie vergessen haben, nach Autorisierungs -Token zu suchen.
• Edit email/phone number -Funktion sollte von einer Überprüfungs -E -Mail an den Eigentümer des Kontos beigefügt sein.
• Jede Upload -Funktion sollte den vom Benutzer bereitgestellten Dateinamen bereinigen. Auch aus allgemeiner Gründe, abgesehen von der Sicherheit, laden Sie auf so etwas wie S3 (und Post-Process mit Lambda) und nicht in Ihren eigenen Server, der Code ausführen kann.
• Profile photo upload -Funktion sollte alle EXIF ​​-Tags auch sanften, falls dies nicht erforderlich ist.
• Verwenden Sie für Benutzer -IDs und andere IDs RFC -konforme UUID anstelle von Ganzzahlen. Für Ihre Sprache auf GitHub finden Sie eine Implementierung dafür.
• Jwt sind großartig. Verwenden Sie sie bei Bedarf für Ihre einseitige App/APIs.

• Verwenden Sie die Verschlüsselung für Daten, die Benutzer und sensible Daten wie Zugriffstoken, E -Mail -Adressen oder Abrechnungsdetails identifizieren.
• Wenn Ihre Datenbank eine kostengünstige Verschlüsselung in Ruhe unterstützt (wie AWS Aurora), aktivieren Sie dies, um Daten auf der Festplatte zu sichern. Stellen Sie sicher, dass auch alle Backups verschlüsselt werden.
• Verwenden Sie minimale Berechtigungen für das Datenbankzugriffs -Benutzerkonto. Verwenden Sie nicht das Datenbank -Root -Konto.
• Lagern und verteilen Sie Geheimnisse mit einem für diesen Zweck ausgelegten Schlüsselspeicher. In Ihren Anwendungen keinen harten Code.
• Verhindern Sie die SQL -Injektion vollständig, indem Sie nur SQL -vorbereitete Aussagen verwenden. Wenn Sie beispielsweise NPM verwenden, verwenden Sie NPM-Mysql nicht, verwenden Sie NPM-MYSQL2, was vorbereitete Aussagen unterstützt.

• salt von Zahlungsgateways sollte nicht festcodiert werden.
• secret / auth token von SDKs von Drittanbietern sollte nicht festcodiert werden.
• API -Aufrufe, die server to server erfolgen sollen, sollte nicht aus der App durchgeführt werden.
• In Android sollten alle gewährten Berechtigungen sorgfältig bewertet werden.
• Speichern Sie auf iOS sensible Informationen (Authentifizierungs -Token, API -Schlüssel usw.) im Systemschlüsselkette. Speichern Sie diese Art von Informationen nicht in den Benutzer -Standardeinstellungen.
• Das Zertifikatstab wird dringend empfohlen.

• Add CSP -Header hinzu, um XSS und Dateneinspritzangriffe zu mildern. Das ist wichtig.
• Add den CSRF -Header hinzu, um eine Forderung der Anfrage zu verhindern. Fügen Sie auch Samesit -Attribute zu Cookies hinzu.
• Add HSTS -Header hinzu, um SSL -Stripping -Angriffe zu verhindern.
• Add Ihre Domain der HSTS -Vorspannliste hinzu
• Add X-Frame-Optionen hinzu, um sich vor ClickJacking zu schützen.
• Add den X-XSS-Protest-Header hinzu, um XSS-Angriffe zu mildern.
• Aktualisieren Sie DNS -Datensätze, um SPF -Datensatz hinzuzufügen, um Spam- und Phishing -Angriffe zu mildern.
• Fügen Sie SubResource -Integritätsprüfungen hinzu, wenn Sie Ihre JavaScript -Bibliotheken von einem CDN von Drittanbietern laden. Fügen Sie für zusätzliche Sicherheit den Anforderungs-SRI-für-CSP-Direktion hinzu, damit Sie keine Ressourcen laden, die keinen SRI-SAT haben.
• Verwenden Sie zufällige CSRF -Token und enthüllen Sie die Geschäftslogik -APIs als HTTP -Postanforderungen. Entdecken Sie keine CSRF -Token über HTTP beispielsweise in einer Erstanforderungs -Upgrade -Phase.
• Verwenden Sie keine kritischen Daten oder Token in GET -Anforderungsparametern. Die Belichtung von Serverprotokollen oder eine Maschine/Stapel -Verarbeitung würde die Benutzerdaten nach seiner Zeit aufdecken.

• Sanitize alle Benutzereingänge oder Eingabeparameter, die dem Benutzer ausgesetzt sind, um XSS zu verhindern.
• Verwenden Sie immer parametrisierte Abfragen, um die SQL -Injektion zu verhindern.
• Bereinigen Sie die Benutzereingabe, wenn Sie diese direkt für Funktionen wie den CSV -Import verwenden.
• Sanitize die Benutzereingabe für spezielle Fälle wie Robots.txt als Profilnamen für den Fall, dass Sie ein URL -Muster wie coolcorp.io/username verwenden.
• Hand Code oder erstellen Sie JSON nie nach String -Verkettung, egal wie klein das Objekt ist. Verwenden Sie Ihre mit Sprachen definierte Bibliotheken oder Ihre Framework.
• Bereinigen Sie Eingaben, die eine Art URLs erfordern, um SSRF zu verhindern.
• Bereinigen Sie Ausgänge, bevor Sie den Benutzern angezeigt werden.

• Stellen Sie sicher, dass die DOS -Angriffe auf Ihre APIs Ihre Website nicht verkrüppelten. Machen Sie mindestens Ratenbegrenzer auf Ihren langsameren API -Pfaden wie Anmeldungs- und Token -Generierungsroutinen. Betrachten Sie Captcha auf Front-End-APIs, um Back-End-Dienste vor DOS zu schützen.
• Erzwingen Sie die Vernunftgrenzen für die Größe und Struktur von benutzergerichteten Daten und Anfragen.
• Verwenden Sie die Minderung der Distributed Denial of Service (DDOS) über einen globalen Caching -Proxy -Service wie CloudFlare. Dies kann eingeschaltet werden, wenn Sie einen DDOS -Angriff erleiden und ansonsten als DNS -Suche fungieren.

• Wenn Sie klein und unerfahren sind, bewerten Sie mithilfe von AWS Elasticbeanstalk oder PaaS, um Ihren Code auszuführen.
• Verwenden Sie ein anständiges Bereitstellungsskript, um VMs in der Cloud zu erstellen.
• Überprüfen Sie nach Maschinen mit unerwünschten öffentlich open ports .
• Überprüfen Sie, ob Sie NO/Standard -Passwörter für databases , insbesondere MongoDB & Redis,.
• Verwenden Sie SSH, um auf Ihre Maschinen zuzugreifen. Richten Sie stattdessen ein Kennwort ein und verwenden Sie die SSH-Basis der SSH-basierten Authentifizierung.
• Installieren Sie Updates rechtzeitig, um auf Null -Day -Schwachstellen wie Heartbleed, Shellshock zu handeln.
• Ändern Sie die Serverkonfiguration, um TLS 1.2 für HTTPS zu verwenden, und deaktivieren Sie alle anderen Schemata. (Der Kompromiss ist gut.)
• Lassen Sie den Debug -Modus nicht eingeschaltet. In einigen Frameworks kann der Debug-Modus Zugriff auf vollwertige REP oder Shells ermöglichen oder kritische Daten in Fehlermeldungen aufdecken.
• Seien Sie auf schlechte Schauspieler und DDOs vorbereitet - Verwenden Sie einen Hosting -Service mit DDOS -Minderung.
• Richten Sie die Überwachung für Ihre Systeme ein und protokollieren Sie Sachen (verwenden Sie neu Relic oder ähnliches).
• Wenn Sie sich für Unternehmen für Unternehmen entwickeln, halten Sie sich an die Compliance -Anforderungen. Wenn AWS S3, sollten Sie die Funktion verwenden, um Daten zu verschlüsseln. Wenn Sie AWS EC2 verwenden, sollten Sie die Funktion verwenden, um verschlüsselte Volumina zu verwenden (sogar Startvolumina können jetzt verschlüsselt werden).

• Stellen Sie sicher, dass alle Dienste minimale Ports geöffnet haben. Während Sicherheit durch Dunkelheit kein Schutz ist, macht es den Angreifern ein wenig schwieriger, nicht standardmäßige Anschlüsse zu verwenden.
• Host -Backend -Datenbank und Dienste in privaten VPCs, die in keinem öffentlichen Netzwerk sichtbar sind. Seien Sie sehr vorsichtig, wenn Sie AWS -Sicherheitsgruppen und Peering -VPCs konfigurieren, die versehentlich Dienste für die Öffentlichkeit sichtbar machen können.
• Isolieren Sie logische Dienste in separaten VPCs und Peer-VPCs, um Kommunikation zwischen den Dienstleistungen bereitzustellen.
• Stellen Sie sicher, dass alle Dienste nur Daten von einem minimalen Satz von IP -Adressen akzeptieren.
• Beschränken Sie die ausgehende IP- und Portverkehr, um APTs und „Botifikation“ zu minimieren.
• Verwenden Sie immer AWS -IAM -Rollen und keine Root -Anmeldeinformationen.
• Verwenden Sie ein minimales Zugriffsberechtigte für alle OPS- und Entwicklermitarbeiter.
• Drehen Sie regelmäßig Passwörter und greifen Sie nach einem Zeitplan zu.

CI & CD Prüfen Sie Ihr Design und Ihre Implementierung mit Abdeckung von Einheiten/Integrationstests. Verwenden Sie einen Code-Überprüfungsprozess und ignorieren die Selbstverträglichkeit. Stellen Sie sicher, dass alle Komponenten Ihrer Dienste statisch mit AV -Software gescannt werden, bevor sie in die Produktion drängen, einschließlich Anbieterbibliotheken und anderer Abhängigkeiten. Entwerfen Sie eine Rollback -Lösung für Bereitstellungen.

• Richten Sie eine E -Mail (EG [email protected]) und eine Seite für Sicherheitsforscher ein, um Schwachstellen zu melden.
• Begrenzen Sie den Zugriff auf Ihre Benutzerdatenbanken, abhängig von Ihrer Erstellung, auf Ihre Benutzerdatenbanken.
• Seien Sie höflich zu Bug -Reportern.
• Lassen Sie Ihre Code -Überprüfung eines anderen Entwicklers aus einer sicheren Codierungsperspektive durchführen. (Mehr Augen)
• Bitten Sie bei einem Hack- oder Datenverletzungen die vorherigen Protokolle auf den Datenzugriff und bitten Sie die Leute, Passwörter zu ändern. Möglicherweise benötigen Sie eine Prüfung durch externe Agenturen, je nachdem, wo Sie integriert sind.

• Stellen Sie sicher, dass Sie Upgrades ohne Ausfallzeiten durchführen können. Stellen Sie sicher, dass Sie die Software schnell automatisiert aktualisieren können.
• Erstellen Sie die gesamte Infrastruktur mit einem Tool wie Terraform und nicht über die Cloud -Konsole. Die Infrastruktur sollte als „Code“ definiert werden und an der Taste einer Taste nachgebildet werden können. Haben Sie keine Toleranz für jede Ressource, die in der Cloud von Hand erstellt wurde - Terraform kann dann Ihre Konfiguration prüfen.
• Verwenden Sie eine zentralisierte Protokollierung für alle Dienste. Sie sollten niemals SSH benötigen, um auf Protokolle zuzugreifen oder abzurufen.
• SSH nicht in Dienstleistungen außer einer einmaligen Diagnose. Wenn Sie regelmäßig SSH verwenden, haben Sie normalerweise keine wichtige Aufgabe automatisiert.
• Halten Sie Port 22 nicht auf dauerhafte AWS -Servicegruppen offen. Erwägen Sie stattdessen nur autorisierte IPs zu SSH auf der Box.
• Erstellen Sie unveränderliche Hosts anstelle von langlebigen Servern, die Sie patchen und upgraden. (Siehe unveränderliche Infrastruktur kann sicherer sein).
• Verwenden Sie ein Intrusion Detection System wie Sensedeep oder Service, um APTs zu minimieren.