Οι βέλτιστες πρακτικές για τον έλεγχο της ασφάλειας σε μια Agile κατάστημα ανάπτυξη εκεί;

ψήφοι
9

Όσον αφορά Agile ανάπτυξη, ποιες είναι οι βέλτιστες πρακτικές για τον έλεγχο της ασφάλειας ανά την απελευθέρωση;

Αν πρόκειται για ένα μηνιαίο δελτίο, είναι τα καταστήματα να κάνει στυλό-τεστ κάθε μήνα εκεί;

Δημοσιεύθηκε 05/08/2008 στις 16:05
πηγή χρήστη
Σε άλλες γλώσσες...                            


4 απαντήσεις

ψήφοι
2

Ποιο είναι το πεδίο εφαρμογής σας; Εξαρτάται.

Από τη στιγμή που χρησιμοποίησε τη λέξη «Agile», υποθέτω ότι είναι μια web εφαρμογή. Έχω ένα ωραίο εύκολη απάντηση για σας.

Πάει να αγοράσει ένα αντίγραφο του Burp Σουίτα (αυτό είναι το # 1 Google αποτέλεσμα για «ρέψιμο» --- ένας σίγουρος υποστήριξη!)? αυτό θα σας κοστίσει 99EU, ή ~ $ 180USD, ή $ 98 δολάρια Ομπάμα εάν περιμένετε μέχρι το Νοέμβριο.

Ρέψιμο λειτουργεί ως web proxy. Μπορείτε να περιηγηθείτε μέσω του web εφαρμογή σας χρησιμοποιώντας Firefox ή IE ή οτιδήποτε άλλο, και συγκεντρώνει όλες τις επιτυχίες που παράγουν. Αυτές οι επιτυχίες να τροφοδοτείται σε ένα χαρακτηριστικό που ονομάζεται «εισβολέας», το οποίο είναι ένα web fuzzer. Εισβολέας θα καταλάβω όλες τις παραμέτρους που παρέχουν σε κάθε ένα από τα χειρίζονται το ερώτημά σας. Στη συνέχεια, θα προσπαθήσουμε τρελό τιμές για κάθε παράμετρο, συμπεριλαμβανομένης της SQL, σύστημα αρχείων, και HTML μεταχαρακτήρες. Σε ένα τυπικό σύνθετη μορφή μετά, αυτό θα δημιουργήσει περίπου 1.500 χτυπήματα, που θα δούμε μέσα για τον εντοπισμό τρομακτικό --- ή, το πιο σημαντικό σε μια Agile πλαίσιο, νέο --- απαντήσεις σφάλματος.

Fuzzing κάθε χειριστή ερώτημα στο web εφαρμογή σας σε κάθε επανάληψη απελευθέρωση είναι το # 1 πράγμα που μπορείτε να κάνετε για να βελτιώσει την ασφάλεια των εφαρμογών χωρίς τη θέσπιση επίσημη «SDLC» και προσθέτοντας τον αριθμό απασχολούμενων. Από εκεί και πέρα, ελέγξτε τον κωδικό σας για τα μεγάλα καυτά σημεία web ασφαλείας της εφαρμογής:

  • Χρησιμοποιείτε μόνο παραμετροποιηθεί παρασκευάζεται δηλώσεις SQL? Δεν ποτέ απλά ενώσετε χορδές και τις ζωοτροφές τους να λαβή της βάσης δεδομένων σας.

  • Φιλτράρει όλες τις εισόδους σε μια λευκή λίστα των γνωστών καλό χαρακτήρες (alnum, βασικά σημεία στίξης), και, το πιο σημαντικό, τα στοιχεία του φίλτρου εξόδου από τα αποτελέσματα του ερωτήματος σας για να «εξουδετερώσει» HTML μεταχαρακτήρων σε HTML οντότητες (quot, lt, gt, κλπ).

  • Χρησιμοποιήστε καιρό τυχαία αναγνωριστικά δύσκολο να μαντέψει οπουδήποτε είστε ήδη χρησιμοποιούν τα αναγνωριστικά σειρά απλών ακέραιο στις παραμέτρους ερωτήματος, και βεβαιωθείτε χρήστη Χ δεν μπορεί να δει τα δεδομένα του χρήστη Y είναι απλά εικασία αυτά τα αναγνωριστικά.

  • Δοκιμάστε κάθε χειριστή ερώτημα στην αίτησή σας για να διασφαλιστεί ότι λειτουργούν μόνο όταν παρουσιάζεται μια έγκυρη, συνδεδεμένου cookie συνόδου.

  • Ενεργοποιήστε την προστασία XSRF στο web stack σας, η οποία θα δημιουργήσει συμβολική παραμέτρους κρυφή μορφή σε όλα καθίσταται φόρμες σας, για να αποτρέψει τους εισβολείς από τη δημιουργία κακόβουλες συνδέσεις που θα υποβάλλουν έντυπα για τους ανυποψίαστους χρήστες.

  • Χρησιμοποιήστε bcrypt --- και τίποτα άλλο --- για την αποθήκευση διαγραμμισμένο κωδικούς πρόσβασης.

Απαντήθηκε 10/09/2008 στις 22:19
πηγή χρήστη

ψήφοι
1

Μονάδα δοκιμών , Άμυνας Προγραμματισμός και πολλά από κορμούς

μονάδα δοκιμών

Βεβαιωθείτε δοκιμή μονάδα σας όσο το δυνατόν νωρίτερα (π.χ. ο κωδικός πρόσβασης θα πρέπει να κρυπτογραφούνται πριν από την αποστολή, η σήραγγα SSL λειτουργεί, κλπ). Αυτό θα αποτρέψει τους προγραμματιστές σας από τυχαία κάνοντας το πρόγραμμα ανασφαλής.

άμυνα Προγραμματισμός

Εγώ προσωπικά καλέσετε αυτό το παρανοϊκό προγραμματισμού, αλλά η Wikipedia δεν είναι ποτέ λάθος ( σαρκασμός ). Βασικά, μπορείτε να προσθέσετε εξετάσεις για να σας λειτουργίες που ελέγχει όλες τις εισόδους:

  • είναι τα cookies του χρήστη έγκυρη;
  • είναι αυτός που ακόμα σήμερα συνδεδεμένοι;
  • Οι παράμετροι της συνάρτησης προστατεύονται από SQL ένεση; (Ακόμα κι αν ξέρετε ότι η είσοδος δημιουργούνται από τη δική σας λειτουργίες, θα δοκιμάσει έτσι κι αλλιώς)

Ξύλευση

Συνδεθείτε τα πάντα σαν τρελός. ευκολότερο να απομακρύνει κούτσουρα στη συνέχεια να τα προσθέσετε. Ένας χρήστης έχει εισέλθει; Συνδεθείτε αυτό. Ένας χρήστης βρήκε 404; Συνδεθείτε αυτό. Ο διαχειριστής επεξεργαστείτε / διαγράψετε ένα δημοσίευμα; Συνδεθείτε αυτό. Κάποιος ήταν σε θέση να αποκτήσετε πρόσβαση σε μια περιορισμένη σελίδα; Συνδεθείτε αυτό.

Μην εκπλαγείτε αν το αρχείο καταγραφής σας φτάσει 15+ Mb κατά τη διάρκεια της φάσης ανάπτυξης σας. Κατά τη διάρκεια της beta, μπορείτε να αποφασίσετε ποια αρχεία καταγραφής για να αφαιρέσετε. Αν θέλετε, μπορείτε να προσθέσετε μια σημαία για να αποφασίσει πότε μια συγκεκριμένη συμβάν.

Απαντήθηκε 18/08/2008 στις 03:40
πηγή χρήστη

ψήφοι
1

Δεν είμαι ειδικός σε θέματα ασφαλείας, αλλά νομίζω ότι το πιο σημαντικό γεγονός που πρέπει να γνωρίζετε, πριν από την ασφάλεια δοκιμές, είναι αυτό που προσπαθεί να προστατεύσει. Μόνο αν γνωρίζετε τι προσπαθείτε να προστατεύσει, μπορείτε να κάνετε μια σωστή ανάλυση των μέτρων ασφαλείας και μόνο τότε μπορείτε να αρχίσετε τον έλεγχο αυτών των εφαρμοζόμενων μέτρων.

Πολύ αφηρημένο, το ξέρω. Ωστόσο, νομίζω ότι πρέπει να είναι το πρώτο βήμα της κάθε ελέγχου ασφάλειας.

Απαντήθηκε 05/08/2008 στις 18:50
πηγή χρήστη

ψήφοι
1

Δεν είμαι ειδικός σε Agile ανάπτυξη, αλλά θα ήθελα να φανταστώ ότι η ενσωμάτωση κάποιες βασικές αυτοματοποιημένο λογισμικό στυλό-test σε κύκλο κατασκευή σας θα ήταν μια καλή αρχή. Έχω δει τα πακέτα αρκετές λογισμικού έξω εκεί που θα κάνει τις βασικές δοκιμές και είναι κατάλληλα για την αυτοματοποίηση.

Απαντήθηκε 05/08/2008 στις 18:19
πηγή χρήστη

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more