Awesome Application Security Checklist

Jika Anda mendesain, membuat, menguji aplikasi web/seluler Anda dengan mempertimbangkan keamanan, daftar periksa tindakan kontra ini bisa menjadi titik awal yang baik

• Gunakan https di mana -mana.
• Simpan hash kata sandi menggunakan Bcrypt (tidak perlu garam - Bcrypt melakukannya untuk Anda).
• Hancurkan pengidentifikasi sesi setelah logout .
• Hancurkan semua sesi aktif pada reset kata sandi (atau tawarkan ke).
• Harus memiliki parameter state di OAuth2.
• Tidak ada pengalihan terbuka setelah login yang berhasil atau dalam pengalihan antara lainnya.
• Saat parsing mendaftar/input login, sanderikan untuk JavaScript: //, data: //, karakter CRLF.
• Atur cookie yang aman dan httponly.
• Dalam verifikasi seluler berbasis OTP seluler, jangan kirim OTP kembali dalam respons saat generate OTP atau Resend OTP dipanggil.
• Batasi upaya untuk Login , Verify OTP , Resend OTP dan generate OTP API untuk pengguna tertentu. Memiliki set backoff eksponensial atau/dan sesuatu seperti tantangan berbasis captcha.
• Periksa keacakan Token Kata Sandi Reset di tautan atau SMS yang diemail.
• Tetapkan kedaluwarsa pada token kata sandi reset untuk jangka waktu yang wajar.
• Kedaluwarsa token reset setelah berhasil digunakan.

• Akses sumber daya seperti apa pun, my cart , my history harus memeriksa kepemilikan pengguna atas sumber daya menggunakan ID sesi.
• ID sumber daya yang dapat diulang secara seri harus dihindari. Gunakan /me/orders bukan /user/37153/orders . Ini bertindak sebagai cek kewarasan jika Anda lupa memeriksa token otorisasi.
• Edit email/phone number harus disertai dengan email verifikasi kepada pemilik akun.
• Fitur unggahan apa pun harus membersihkan nama file yang disediakan oleh pengguna. Juga, untuk alasan umumnya terpisah dari keamanan, mengunggah ke sesuatu seperti S3 (dan pasca-proses menggunakan Lambda) dan bukan server Anda sendiri yang mampu menjalankan kode.
• Fitur Profile photo upload harus membersihkan semua tag EXIF juga jika tidak diperlukan.
• Untuk ID Pengguna dan ID lainnya, gunakan UUID yang sesuai dengan RFC, bukan bilangan bulat. Anda dapat menemukan implementasi untuk ini untuk bahasa Anda di GitHub.
• JWT luar biasa. Gunakan jika diperlukan untuk aplikasi/API satu halaman Anda.

• Gunakan enkripsi untuk data yang mengidentifikasi pengguna dan data sensitif seperti token akses, alamat email atau detail penagihan.
• Jika database Anda mendukung enkripsi biaya rendah saat istirahat (seperti AWS Aurora), maka aktifkan untuk mengamankan data pada disk. Pastikan semua cadangan disimpan terenkripsi juga.
• Gunakan hak istimewa minimal untuk Akun Pengguna Akses Database. Jangan gunakan akun root database.
• Simpan dan distribusikan rahasia menggunakan toko kunci yang dirancang untuk tujuan tersebut. Jangan kode keras dalam aplikasi Anda.
• Sepenuhnya mencegah injeksi SQL dengan hanya menggunakan pernyataan SQL yang disiapkan. Misalnya: Jika menggunakan NPM, jangan gunakan NPM-MYSQL, gunakan NPM-MYSQL2 yang mendukung pernyataan yang disiapkan.

• salt dari gateway pembayaran tidak boleh dihitung.
• secret / auth token dari Pihak Ketiga SDK tidak boleh dimodelkan.
• Panggilan API yang dimaksudkan untuk dilakukan server to server tidak boleh dilakukan dari aplikasi.
• Di Android, semua izin yang diberikan harus dievaluasi dengan cermat.
• Di iOS, menyimpan informasi sensitif (token otentikasi, kunci API, dll.) Dalam gantungan kunci sistem. Jangan menyimpan informasi semacam ini di default pengguna.
• Pinning sertifikat sangat disarankan.

• Add header CSP untuk mengurangi XSS dan serangan injeksi data. Ini penting.
• Add header CSRF untuk mencegah pemalsuan permintaan lintas situs. Tambahkan juga atribut Samesite pada cookie.
• Add header HSTS untuk mencegah serangan stripping SSL.
• Add domain Anda ke daftar preload HSTS
• Add opsi X-frame untuk melindungi dari clickjacking.
• Add header perlindungan X-XSS untuk mengurangi serangan XSS.
• Perbarui catatan DNS untuk menambahkan catatan SPF untuk mengurangi spam dan serangan phishing.
• Tambahkan Pemeriksaan Integritas SubResource jika memuat pustaka JavaScript Anda dari CDN pihak ketiga. Untuk keamanan ekstra, tambahkan-sutradara CSP-for-for sehingga Anda tidak memuat sumber daya yang tidak memiliki SRI SAT.
• Gunakan token CSRF acak dan paparkan API logika bisnis sebagai permintaan HTTP Post. Jangan mengekspos token CSRF melalui HTTP misalnya dalam fase peningkatan permintaan awal.
• Jangan gunakan data atau token penting dalam parameter permintaan GET. Eksposur log server atau pemrosesan mesin/tumpukan akan mengekspos data pengguna secara bergantian.

• Sanitize semua input pengguna atau parameter input apa pun yang terpapar kepada pengguna untuk mencegah XSS.
• Selalu gunakan kueri parameter untuk mencegah injeksi SQL.
• Sanitasi input pengguna jika menggunakannya secara langsung untuk fungsionalitas seperti impor CSV.
• Sanitize input pengguna untuk kasus khusus seperti robot.txt sebagai nama profil jika Anda menggunakan pola URL seperti coolcorp.io/username.
• Jangan kode tangan atau membangun JSON dengan gabungan string, tidak peduli seberapa kecil objeknya. Gunakan pustaka atau kerangka kerja yang ditentukan bahasa Anda.
• Sanitasi input yang membutuhkan semacam URL untuk mencegah SSRF.
• Sanitasi output sebelum ditampilkan kepada pengguna.

• Pastikan serangan DOS di API Anda tidak akan melumpuhkan situs Anda. Paling tidak, miliki limiter tingkat di jalur API Anda yang lebih lambat seperti rutinitas login dan token. Pertimbangkan Captcha di API front-end untuk melindungi layanan back-end terhadap DOS.
• Menegakkan batas kewarasan pada ukuran dan struktur data dan permintaan yang dikirimkan pengguna.
• Gunakan mitigasi Denial of Service (DDOS) terdistribusi melalui layanan proxy caching global seperti CloudFlare. Ini dapat dinyalakan jika Anda menderita serangan DDOS dan berfungsi sebagai pencarian DNS Anda.

• Jika Anda kecil dan tidak berpengalaman, evaluasi menggunakan AWS ElasticBeansTalk atau PAAS untuk menjalankan kode Anda.
• Gunakan skrip penyediaan yang layak untuk membuat VM di cloud.
• Periksa mesin dengan open ports publik yang tidak diinginkan.
• Periksa kata sandi No/Default untuk databases terutama MongoDB & Redis.
• Gunakan SSH untuk mengakses mesin Anda; Jangan atur kata sandi, gunakan otentikasi berbasis kunci SSH sebagai gantinya.
• Instal pembaruan tepat waktu untuk bertindak berdasarkan kerentanan nol hari seperti Heartbleed, Shellshock.
• Ubah konfigurasi server untuk menggunakan TLS 1.2 untuk https dan nonaktifkan semua skema lainnya. (Pengorbanan itu bagus.)
• Jangan tinggalkan mode debug. Dalam beberapa kerangka kerja, mode debug dapat memberikan akses repl atau shell penuh atau mengekspos data penting dalam stacktraces pesan kesalahan.
• Bersiaplah untuk Aktor & DDOS yang buruk - Gunakan layanan hosting yang memiliki mitigasi DDOS.
• Siapkan pemantauan untuk sistem Anda, dan hal -hal log (gunakan peninggalan baru atau semacamnya).
• Jika berkembang untuk pelanggan perusahaan, patuhi persyaratan kepatuhan. Jika AWS S3, pertimbangkan untuk menggunakan fitur untuk mengenkripsi data. Jika menggunakan AWS EC2, pertimbangkan untuk menggunakan fitur untuk menggunakan volume terenkripsi (bahkan volume boot dapat dienkripsi sekarang).

• Pastikan semua layanan memiliki port minimum terbuka. Sementara keamanan melalui ketidakjelasan bukanlah perlindungan, menggunakan port non-standar akan membuatnya sedikit lebih sulit bagi penyerang.
• Host Backend Database dan layanan pada VPC pribadi yang tidak terlihat di jaringan publik mana pun. Berhati -hatilah saat mengkonfigurasi grup keamanan AWS dan mengintip VPC yang secara tidak sengaja dapat membuat layanan terlihat oleh publik.
• Isolat Layanan Logis dalam VPC terpisah dan Peer VPC untuk menyediakan komunikasi antar-layanan.
• Pastikan semua layanan hanya menerima data dari satu set alamat IP minimal.
• Batasi lalu lintas IP dan port keluar untuk meminimalkan APT dan "Botification".
• Selalu gunakan peran AWS IAM dan bukan root kredensial.
• Gunakan hak istimewa akses minimal untuk semua OPS dan staf pengembang.
• Putar kata sandi dan kunci akses secara teratur sesuai dengan jadwal.

Audit CI & CD Desain dan implementasi Anda dengan cakupan unit/integrasi tes. Gunakan proses peninjauan kode dan abaikan persetujuan diri. Pastikan bahwa semua komponen layanan Anda dipindai secara statis oleh perangkat lunak AV sebelum mendorong produksi, termasuk perpustakaan vendor dan dependensi lainnya. Rancang solusi rollback untuk penyebaran.

• Siapkan email (mis.
• Bergantung pada apa yang Anda buat, batasi akses ke basis data pengguna Anda.
• Bersikap sopan kepada wartawan bug.
• Suruh tinjauan kode Anda dilakukan oleh sesama pengembang dari perspektif pengkodean yang aman. (Lebih banyak mata)
• Dalam hal pelanggaran hack atau data, periksa log sebelumnya untuk akses data, minta orang untuk mengubah kata sandi. Anda mungkin memerlukan audit oleh lembaga eksternal tergantung di mana Anda dimasukkan.

• Pastikan Anda dapat melakukan peningkatan tanpa downtime. Pastikan Anda dapat dengan cepat memperbarui perangkat lunak secara otomatis.
• Buat semua infrastruktur menggunakan alat seperti Terraform, dan bukan melalui Cloud Console. Infrastruktur harus didefinisikan sebagai "kode" dan dapat diciptakan kembali dengan menekan tombol. Memiliki nol toleransi untuk sumber daya apa pun yang dibuat di cloud dengan tangan - Terraform kemudian dapat mengaudit konfigurasi Anda.
• Gunakan logging terpusat untuk semua layanan. Anda tidak perlu SSH untuk mengakses atau mengambil log.
• Jangan ssh ke dalam layanan kecuali untuk diagnosis satu kali. Menggunakan SSH secara teratur, biasanya berarti Anda belum mengotomatiskan tugas penting.
• Jangan biarkan port 22 terbuka pada kelompok layanan AWS apa pun secara permanen. Alih -alih mempertimbangkan hanya mengizinkan IPS resmi untuk SSH di kotak.
• Buat host yang tidak dapat diubah alih-alih server berumur panjang yang Anda tambal dan tingkatkan. (Lihat infrastruktur yang tidak dapat diubah bisa lebih aman).
• Gunakan sistem deteksi intrusi seperti Sensedeep atau layanan untuk meminimalkan APT.